Migliorare la sicurezza delle password create all'attivazione dell'account

ciao,
oggi per testare la sicurezza del mio sito ho fatto un attacco bruteforce e...
sono riuscito a trovare la password (ovviamente restringendo le chiavi di ricerca ai soli caratteri presenti nella mia passwrod).
ora io chiedo:
è possibile creare all'attivazione di un account password molto più sicure di quelle attuali?
attendo risposta

Puoi usare algoritmi tipo md5 o hash per memorizzare le psw.


ciaoooooo!!!!!!

io intendo dire un'altra cosa:
le password dell'accesso ftp di default sono poco sicure
e vorrei che le rendessero più sicure

[Evcz]

poco sicure?

8caratteri lettere e numeri è uno standard abbastanza buono....

bruteforce sul server? penso che dopo un po' di tentativi andati a male il server ti blocchi...

si sono 8 caratteri ma stessa struttura:
6 lettere e poi 2 numeri finali...

Ma intendi dire quelle che ti da altervista di default?
Quella fai prima a cambiarla tu no?

Sta ad ognuno di noi fare il possibile per tenersi coperto il deretano!


Ciaooooo!!!!!!!!

si però si puo fragere un account fcilmente così:
in basso nel forum vedi scritto "ultimo iscritto: *****" quel poveretto dalla mail deve arrivare al pannello di controllo,in tanto il cracker glielo puo fragre benissimamente...

[Evcz]

Ma intendi dire quelle che ti da altervista di default?
Quella fai prima a cambiarla tu no?

Sta ad ognuno di noi fare il possibile per tenersi coperto il deretano!


Ciaooooo!!!!!!!!

già :D

cmq pensavo fossero lettere e numeri con posizioni a caso...

invece comma33sgm mi conferma che i numeri sono sempre in fondo...

le possibilità si riducono di molto allora.... :eyes:

22*22*22*22*10*10 se non erro... :eyes:

appena 24.000.000 di password diverse LOL

[Evcz]

@comma33sgm sogna..

voglio vederti provare 24.000.000 di password nel pannello ...

LOL

bhe che dire. Per prima cosa, che in informatica nulla non è 'bucabile'. Tutto è bucabile. CIo che conta, è quanto tempo ci si impiega a farlo. Io posso creare anche un sistema di password a criptatura di 128 bit, lunghissime, assai complesse da scovare, ma prima o poi, tentativi su tentativi, io quella password la trovo.

Allora dove sussite il problema? Rendere piu sicuro l'accesso ftp? L'unico modo per entrare via ftp di altervista è prelevare dei file php contenenti il config sql del proprio spazio web. Cosa che pare alquanto difficile, ma NON IMPOSSIBILE. Suggerisco di utilizzare sistemi di criptatura 64 bit e 128 bit sui file config (ovviamente i file di accesso sql scritti in php).

posso consigliare, in quanto non espertissimo in materia, di farvi un giro su google.it inserendo come voce 'Sistemi di cryptatura php' oppure 'sicurezza con php'. O semplicemente, di visitare il sito www.php.net, che contiene ottime risorse php.

[Evcz]

L'unico modo per entrare via ftp di altervista è prelevare dei file php contenenti il config sql del proprio spazio web. Cosa che pare alquanto difficile, ma NON IMPOSSIBILE.

su altervista non corri quel pericolo!

la password infatti non è necessarios criverla da nessuna parte nel proprio spazio

qualsiasi script funziona correttamente e si collega al mysql senza specificare alcuna password OLD

Chiedo scusa a tutti, soprattutto a Evcz. Forse mi sono espresso male.

Chiariamo al volo:

Le pass di accesso FTP e MySQL sono le stesse. E fin li ci siamo.
(intendasi anche nome utente)

Se io, programmatore, nel eseguire il file php (Creo prima un config.inc.php)

Ove ne includo

Nome utente
Host
Password Host
e Database

es:

$host = "";
$nomeute = "";
$passute = "";
$db = "";

e lo mando on, perke questo è il cuore di ogni connessione db, che mi serve per aprire ogni sessione

se uno, mi preleva tale file, cosa non molto difficile, ha libero accesso ai dati fto, al pannello e al database.

Ovvio, il problema non sussiste, se una persona ho un host su altervista e NON utilizza script php con connessione MySQL

^_^ spero di essere stato chiaro

[Evcz]

Chiedo scusa a tutti, soprattutto a Evcz. Forse mi sono espresso male.

Chiariamo al volo:

Le pass di accesso FTP e MySQL sono le stesse. E fin li ci siamo.
(intendasi anche nome utente)

Se io, programmatore, nel eseguire il file php (Creo prima un config.inc.php)

Ove ne includo

Nome utente
Host
Password Host
e Database

es:

$host = "";
$nomeute = "";
$passute = "";
$db = "";

e lo mando on, perke questo è il cuore di ogni connessione db, che mi serve per aprire ogni sessione

se uno, mi preleva tale file, cosa non molto difficile, ha libero accesso ai dati fto, al pannello e al database.

Ovvio, il problema non sussiste, se una persona ho un host su altervista e NON utilizza script php con connessione MySQL

^_^ spero di essere stato chiaro

:eyes:

la password su altervista puoi (e lo consiglio vivamente) lasciarla vuota e lo script si connette comunque tranquillamente senza fare storie...

altervista fa solo il controllo che tu sia l'utente giusto... poi si presume che dal tuo spazio ti possa connettere solo tu...

anche se uno conosce il contenuto del mio config.php non se ne fa nulla..

la dentro io ho solo

username: evcz
dbname: myevcz
pass:
host: localhost

come vedi la pass è vuota... OLD

mi spiegheresti meglio questo fatto della pw vuota? intendi che nel config la pw non viene specificata?

Mbah.. io sto ancora aspettando ke me arrivo ai giusti AC per il db mysql quindi nn ho questi problemi... kavolo kom'e' possibile ke sn uno dei pokissimi a nn averlo?

O.o il campo password vuoto? O.o

O cacchio, la cosa mi preoccupa assai. Mi sorge spontaneo chiedermi, come diamine fa a connettere a quel specifico db, verificare nome utente e pass e poi eseguire i vari script di connessione SQL. La sicurezza va a quel paese, secondo me. Ognuno ha libero accesso al tuo database, senza password. Mi basta creare uno script php, ove mi mostra e mi da un resoconto sql di tutte le tue tabelle, esportandole, e di coneseguenza vengo a conoscenza dei file presenti sul tuo ftp.

Poi invece ci penso bene. E' una buona cosa....MA rimango perplesso.
Senza password, uno non puo accedere (ovvio si parla di un estraneo) ai nostri dati. Nemmeno all'ftp. Procurarsi la pass è facile se scarico il config php. Ma se questo config è privo di password? Rimango fregato....

MMmm la questione si fa molto interessante. Quoto chi ha aperto questo post

[Evcz]

O.o il campo password vuoto? O.o

O cacchio, la cosa mi preoccupa assai. Mi sorge spontaneo chiedermi, come diamine fa a connettere a quel specifico db, verificare nome utente e pass e poi eseguire i vari script di connessione SQL. La sicurezza va a quel paese, secondo me. Ognuno ha libero accesso al tuo database, senza password. Mi basta creare uno script php, ove mi mostra e mi da un resoconto sql di tutte le tue tabelle, esportandole, e di coneseguenza vengo a conoscenza dei file presenti sul tuo ftp.

Poi invece ci penso bene. E' una buona cosa....MA rimango perplesso.
Senza password, uno non puo accedere (ovvio si parla di un estraneo) ai nostri dati. Nemmeno all'ftp. Procurarsi la pass è facile se scarico il config php. Ma se questo config è privo di password? Rimango fregato....

MMmm la questione si fa molto interessante. Quoto chi ha aperto questo post

si senza password.

al database my_evcz si possono collegare soltanto le pagine che risiedono in evcz.altervista.org....

punto...

non ci sono altre possibilità OLD

ora si spiegano molte cose.

Abituato ad hosting a pagamento, dove ognuno ha il suo ip personale *_* che simpatici.

ghghg

[powser]

@comma33sgm sogna..

voglio vederti provare 24.000.000 di password nel pannello ...

LOL

23.999.999 la sua la esclude a priori!!poi scendono a 23.999.996 perchè lui ha 4 siti!!
Dai comma che ce la puoi fare!!

La storia della password nn la sapevo...la levo subito!!Grazie evcz

[makpaolo]

OT landeimmortali, accorcia la firma cortesemente.

fatto ù.ù, che cattiveria