witam, moje pytania moga sie wydac bardziej zaznajomionym w temacie troche glupie ale zapytam. hasla sie haszuje z oczywistych wzgledow. sha1, sha2 i inne algorytmy. z tego co czytalem glownym kryterium i problemem jest ilosc czasu potrzebnego na oczytanie go metoda brute-force. czy nie mozna by bylo to obejsc zwyczajnie dajac co 3 nieudane trafy przerwe 15 minutowa? czas ten tez moglby sie zwiekszac gdyby ciagle zle sie podawalo. po wielu nieudanych probach mozna by tez blokowac konto i dopiero administrator by odblokowal po przekonaniu go. to po pierwsze i po drugie:

do ukrycia ip mozna stosowac bramki proxy albo odpowiednie programy. czy administrator ma mozliwosc przejrzenia mimo to prawdziwego ip? jak testowalem uzywajac zmiennej REMOTE_ADDR to przy proxy mowil ze sa 2 rozne ip. ale czy sa mozliwosci zeby mimo to przejrzec prawdziwe ip?

pozdrawiam

Brute-force możmna rozumieć dwojako:
- atak bezpośrednio na stronę logowania: mamy login użytkownika, nie mamy skrótu jego hasła, testujemy wszystkie możliwe hasła po kolei
- atak na posiadany skrót: mamy skrót hasła użytkownika, próbujemy go złamać lokalnie, tetsujemy wszystkie możliwe hasła i cieszymy się jeśli hash($mozliwosc) == $hash

Hasła hashuje się aby zapobiec temu drugiemu. Opisałeś sposoby zapobiegnięcia temu pierwszemu.

tak w ogole to hasla haszuje sie tez ze w razie jesli zostana zlapane podczas przesylania to haker otrzyma teoretycznie nic nie dajacy zlepek znakow a nie haslo. ale przeciez przy uzyciu paru komputerow mozna, gdyby pracowaly 24/7 i ukladalyby slowa po czym je haszowaly i zapisywaly w pamieci... wtedy taki haker po .. hm nie znam sie ale mysle ze po miesiciu mialby juz sporo ukladow hasz - odszyfrowanie i moglby tylko stukac ten hasz ktory przejal i mialby haslo... czy to jest ten 2 sposob ktory opisales?

To nie jest aż tak proste, ale wykonalne dla słabych funkcji mieszających (md5, sha-1) - ja polecam algorytmy matematycznie wolne i poprawne.
Tak, to ten sposób, tylko zazwyczaj albo się porównuje hash w trakcie jego stworzenia, albo zapisue w tzw. tęczowych tablicach - ale dużo na ten temat można znaleźć już w internecie, ja na tym nie znam się tak dobrze, żeby o tym dokładniej mówić.

Panowie chyba nie słyszeli o tym, w jakim tempie można takie operacje przeprowadzić przez CUDA (obliczenia przeprowadzane na kartach graficznych).

przed chwila sie dowiedzialem ze sa strony gdzie sa udostepniano to co napisalem czyli wstukujesz w formularz hash i system ci pokazuje (jesli ma w bazie danych) odhaszowane haslo. jest to dostepne dla md5 i sha1 (ok 50 mln hasel dla obu). jezeli tak to te algorytmy sa teoretycznie nieefektywne... ale podobno mozna dodac sole i wtedy zmienia sie szyfr i juz te strony nie pomoga tak?

Hash, nie szyfr. Ale tak, wtedy już tablice tęczowe są właściwie bezużyteczne.

Nie mniej jednak:
1. http://forum.php.pl/index.php?showtopic=44...0&start=100
2. http://forum.php.pl/index.php/t202617.html

Nie będziemy znowu wałkować tego samego tematu.

propsuje!
sam mam kartę z CUDA i naprawdę, temo powala.

Dobra lektura
http://www.codinghorror.com/blog/2012/04/speed-hashing.html

do hashów używaj Bcrypt z 12 rundami (Manual: crypt)
a Ip właściwe można podejrzeć, ale wiele proxy to maskuje, HTTP_X_FORWARDED_FOR z $_SERVER, jeszcze może być w HTTP_CLIENT_IP

ok dziekuje, przeczytam te linki ktore podaliscie, mozna zamknac