مخلوج
کپی کردن مطالب این وبلاگ بدون لینک به اصل مطلب را به شدت محکوم مینمایم
Sunday 26 August 2007
ممکن است شما هم گاهی هیجان اینطور کنجکاوی ها را تجربه کرده باشید و یا در مورد پیدا کردن پسورد ایمیل دیگران مطلبی به گوشتان خورده باشد. در این مطلب به طور مختصر در مورد اینکه چرا این کار عملی نیست میپردازم.
در سایتهایی مثل جیمیل، یاهو و به طور کلی در هر سایتی که با مقدمات امنیت آشنایی داشته باشد، کلمه عبور کاربران بطور مستقیم ذخیره نمیشود بلکه توسط تابعی به نام تابع هش (hash function) به فرم جدیدی تبدیل شده و سپس در بانک اطلاعاتی قرار میگیرد. خصوصیت اصلی توابع هش بازگشت ناپذیر بودن آنهاست، به این معنی که وقتی عبارتی تحت این تابع تبدیل شود نتیجه حاصل به هیچ وجه قابل تبدیل به متن اولیه نخواهد بود (به استثنای توابع هش قدیمیتر که طراحی ضعیفتری داشتهاند). پس از انتخاب کلمه عبور تابع مذکور آنرا اصطلاحا هش کرده و این مقدار در بانک اطلاعاتی وب سایت ذخیره میشود. هنگامی که کاربر تقاضای ورود به سیستم را داشته باشد مجدد این عمل روی کلمه عبور وارد شده توسط او انجام شده و آنگاه نتیجه بدست آمده با مقداری که قبلا در بانک اطلاعاتی ذخیره شده بود مقایسه میشود و در صورت یکسان بودن این دو مقدار به کاربر اجازه ورود به سیستم داده خواهد شد.
در توابع هش مقدار ورودی هر طولی میتواند داشته باشد ولی مقدار خروجی طول ثابتی خواهد داشت ولی با این حال در مورد یکی از مشهورترین این توابع به نام MD5 تا کنون تنها دو عبارت با نتیجه هش یکسان پیدا شده است! پس احتمال اینکه دو کلمه عبور متفاوت نتیجه یکسانی داشته باشند بسیار کم است.
پس از این به بعد فکر یافتن کلمه عبور دیگران را به روشی غیر از روشهایی که مستقیما روی کامپیوتر شخص عمل میکنند (مثل keyloggerها) را از سر خود بیرون کرده نفس عمیقی بکشید و به چیزهای خوبتر فکر کنید! ;)
ادامه مطلب قبلی را فراموش نکردهام، ولی فعلا درگیر پروژه و... هستم و فرصت کنجکاوی و فضولی ندارم، به زودی مطلب را ادامه خواهم داد.
در سایتهایی مثل جیمیل، یاهو و به طور کلی در هر سایتی که با مقدمات امنیت آشنایی داشته باشد، کلمه عبور کاربران بطور مستقیم ذخیره نمیشود بلکه توسط تابعی به نام تابع هش (hash function) به فرم جدیدی تبدیل شده و سپس در بانک اطلاعاتی قرار میگیرد. خصوصیت اصلی توابع هش بازگشت ناپذیر بودن آنهاست، به این معنی که وقتی عبارتی تحت این تابع تبدیل شود نتیجه حاصل به هیچ وجه قابل تبدیل به متن اولیه نخواهد بود (به استثنای توابع هش قدیمیتر که طراحی ضعیفتری داشتهاند). پس از انتخاب کلمه عبور تابع مذکور آنرا اصطلاحا هش کرده و این مقدار در بانک اطلاعاتی وب سایت ذخیره میشود. هنگامی که کاربر تقاضای ورود به سیستم را داشته باشد مجدد این عمل روی کلمه عبور وارد شده توسط او انجام شده و آنگاه نتیجه بدست آمده با مقداری که قبلا در بانک اطلاعاتی ذخیره شده بود مقایسه میشود و در صورت یکسان بودن این دو مقدار به کاربر اجازه ورود به سیستم داده خواهد شد.
در توابع هش مقدار ورودی هر طولی میتواند داشته باشد ولی مقدار خروجی طول ثابتی خواهد داشت ولی با این حال در مورد یکی از مشهورترین این توابع به نام MD5 تا کنون تنها دو عبارت با نتیجه هش یکسان پیدا شده است! پس احتمال اینکه دو کلمه عبور متفاوت نتیجه یکسانی داشته باشند بسیار کم است.
پس از این به بعد فکر یافتن کلمه عبور دیگران را به روشی غیر از روشهایی که مستقیما روی کامپیوتر شخص عمل میکنند (مثل keyloggerها) را از سر خود بیرون کرده نفس عمیقی بکشید و به چیزهای خوبتر فکر کنید! ;)
ادامه مطلب قبلی را فراموش نکردهام، ولی فعلا درگیر پروژه و... هستم و فرصت کنجکاوی و فضولی ندارم، به زودی مطلب را ادامه خواهم داد.
Labels: تکنولوژی
1 Comments:
:D;)