Articles of crittografia di

Quale algoritmo dovrei usare per hash password nel mio database?

C’è qualcosa che non è banalmente irrisolvibile?

Qual è lo scopo della codifica di base 64 e perché è utilizzato nell’autenticazione di base HTTP?

Non ho la crittografia Base64. Se si può decifrare una stringa Base64, qual è il suo scopo? Perché viene utilizzato per l’autenticazione HTTP Basic? È come dire a qualcuno che la mia password è invertita in OLLEH. Le persone che vedono OLLEH sapranno che la password originale era CIAO.

Perché utilizzare un IV non casuale con modalità CBC è una vulnerabilità?

Capisco lo scopo di una flebo. Specificamente in modalità CBC, questo assicura che il primo blocco di 2 messaggi crittografati con la stessa chiave non sarà mai identico. Ma perché è una vulnerabilità se le IV sono sequenziali? Secondo CWE-329 NON-Random IV consente la possibilità di un attacco dizionario. So che in pratica protocolli come […]

Come fare correttamente la gestione delle chiavi private

Qualcuno ha esperienza pratica o un riferimento per uno schema che implementa uno schema di gestione delle chiavi conforms allo standard di sicurezza PCI DSS ? Ci sono ovviamente alcune implementazioni in giro dato il numero di aziende compatibili con PCI DSS ma cercare di trovare i dettagli di esse è difficile. Quando si passa […]

Come vengono generate le chiavi di licenza del software?

Le chiavi di licenza sono lo standard defacto come misura antipirateria. Ad essere onesti, questo mi colpisce come (in) Security Through Obscurity , anche se non ho idea di come vengano generate le chiavi di licenza. Qual è un buon esempio (sicuro) di generazione della chiave di licenza? Quale primitiva crittografica (se esiste) sta usando? […]

Password hashing, sale e memorizzazione dei valori hash

Supponiamo che tu fossi libero di decidere come memorizzare le password hash in un DBMS. Ci sono evidenti debolezze in uno schema come questo? Per creare il valore di hash memorizzato nel DBMS, prendi: Un valore che è univoco per l’istanza del server DBMS come parte del sale, E lo username come seconda parte del […]

Quando avrei bisogno di un SecureString in .NET?

Sto cercando di ingannare lo scopo di SecureString di .NET. Da MSDN: Un’istanza della class System.String è sia immutabile che, quando non più necessaria, non può essere pianificata in modo programmatico per la garbage collection; ovvero, l’istanza è di sola lettura dopo la sua creazione e non è ansible prevedere quando l’istanza verrà eliminata dalla […]

Metodo preferito di memorizzazione delle password nel database

Qual è il metodo / tipo di dati preferito per la memorizzazione delle password in un database (preferibilmente SQL Server 2005). Il modo in cui lo sto facendo in molte delle nostre applicazioni è di usare prima le librerie di crittografia .NET e poi memorizzarle nel database come binari (16). È questo il metodo preferito […]

Perché la sicurezza attraverso l’oscurità è una ctriggers idea?

Recentemente mi sono imbattuto in un sistema in cui tutte le connessioni DB erano gestite da routine oscurate in vari modi, tra cui la codifica base 64, md5sum e varie altre tecniche. Sono solo io, o questo è eccessivo? Quali sono le alternative?

SHA512 vs. Blowfish e Bcrypt

Sto osservando gli algoritmi di hashing, ma non sono riuscito a trovare una risposta. Bcrypt usa Blowfish Blowfish è migliore di MD5 Q: ma Blowfish è meglio di SHA512? Grazie.. Aggiornare: Voglio chiarire che capisco la differenza tra hashing e crittografia. Ciò che mi ha spinto a porre la domanda in questo modo è questo […]