پروژهء سیستم رجیستر و لاگین بازمتن

[sonixax]

بنده در تابع هش برنامم از SHA256 استفاده کردم؛ چون MD5 مدتهاست سوراخ شده؛ همچنین SHA1 هم دیگه منسوخه برای این کاربرد.

نه Md5 سوراخ نیست !
یک ضرب المثل قدیمی بین برنامه نویسان c++ هست که میگه : "هرگز نمیتونی از یک همبرگر گاو زنده درست کنی" .
تنها راه برگردان هش چه Md5 چه غیره استفاده از بروتفورس در کنار یک بانک اطلاعاتی هستش . بعضی ها مثل اینها یک دیتابیس خیلی بزرگ از هر هشی رو دارند : CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.
تهیه کردن این دیتابیس ها هم کار چندان سختی نیست - با کمی جستجو پیدا میکنید .

بروتفورس هم به این شکل کار میکنه که هکر بعد از به دست آوردن هش کلمه عبور شما رشته های مختلف رو روش آزمایش میکنه تا به رشته ای برسه که همون مقدار هش رو بر میگردونه . برخی مقادیر متفاوت که نتیجه یکسان بر میگردونند .
اینجاست که سالت (نمک) به کار میاد . یعنی به فرض هم که هکر بتونه هش رو پیدا کنه و رشته ای پیدا کنه که همون مقدار هش رو برگردونه وقتی اون مقدار به سالت اضافه میشه نتیجه برابر نخواهد بود .
البته وقتی طرف تونسته به بانک اطلاعتی شما نفوذ کنه پس میتونه مقدار سالت شما رو هم استخراج کنه . برای همین من هیچ وقت سالت رو روی دیتابیس ذخیره نمیکنم یا از سالت ثابت استفاده نمیکنم . یعنی همیشه سالت باید رندوم باشه .

چند راه خیلی خوب برای محافظت از سالت وجود داره :

1 - سالتها رو در پوشه ای یک لول پشت شاخه روت به صورت فایلهای مجزا قرار بدید . (همون طور که میدونید فقط اسکریپت به پوشه های پشت روت دسترسی داره و اگر برنامه شما طوری هست که اجازه دسترسی به پشت روت رو میده با پیچیده ترین روشها هم نمیتونید از شر هکر ها در امان باشید چون احتمالن میتونند روی سرور شما اسکریپت خودشون رو اجرا کنند یا از طریق اکسپلویتها هر فایلی که میخواند رو از روی سرور شما دانلود کنند ، البته تنظیم مجوزهای دسترسی (Permission ها) هم خیلی مهمه) .

2 - در برخی جاها که حفاظت از اطلاعات خیلی مهمه یک سرور دیگه با IP جداگانه درنظر گرفته میشه و سالتها روی اون ذخیره میشند . دسترسی تمام IP ها به جز IP سروری که اسکریپت روش اجرا میشه به سرور ریموت بسته میشه . طبیعی هست که این روش هزینه اش هم بیشتره . حتا ممکنه که بخشی از سالت روی یک ریموت سرور و بخش دیگرش روی یک ریموت سرور دیگه باشه یا اصلن بیش از یک سالت روی بیش از یک ریموت سرور باشه .

3 - من دیده ام که برخی از برنامه نویسان حتا خود هش رو هم روی یک سرور دیگه نگهداری میکنند .
4- تا جای ممکن بهتره که دسترسی فیزیکی به هیچ کدام از سرورها وجود نداشته باشه و حتا بهتره سرورها در یک پایگاه واحد نباشند - که البته این دیگه از نکات برنامه نویسی نیست

دست آخر بهتره از یکی روشهای یک یا 2 در اسکریپتتون بهره ببرید چون هر هشی با صرف زمان کافی و سخت افزار مناسب قابل هک شدن هست .
حتا روشهای 1 و 2 هم تضمین 100% ای برای حفاظت نمیدند و باید همواره روشها رو عوض کرد و پیچیده ترشون کرد - این یک جنگه و کسی که از یک روش مشخص و همیشگی استفاده میکنه شکست میخوره .