✦ Публикации / Пароль: алгоритмы подбора пароля по хешу
ПредисловиеВо многих организациях халатно относятся к безопасности и правам доступа к данным, в связи с чем практически любой желающий (внутри компании) может получить несанкционированный доступ к БД, что способствовует возможной порче или утечке важной информации. Публикация призывает обратить внимание разработчиков систем хранения данных к безопасности доступа к данным и устойчивости этих систем к утечкам информации. А также призывает обратить внимание администраторов баз данных на сложность паролей пользователей и способы их авторизации в системе. Хранение паролей в Предприятии 8.хПароль в Предприятии 8.х хранится в виде хэша, сформированного из строки пароля по алгоритму SHA-1 и упакованного по алгоритму base64. Вид сохраняемой строки: "W6ph5Mm5Pz8GgiULbPgzG37mj9g=,ESu3kTBHkd3PaS4p/VzxSbNf6jc=". Алгоритм получения пароля
Хэш пароля можно получить с помощью кода: СохраняемоеЗначение = ПользовательИнформационнойБазы.СохраняемоеЗначениеПароля; Хэш = СтрЗаменить(Base64Значение(Лев(СохраняемоеЗначение, Найти(СохраняемоеЗначение, ",") - 1)), " ", ""); Пользователь с административным доступом может получить хэш пароля с помощью вложенной обработки "Подбор паролей пользователей":  Пользователь с доступом к файлу базы (.1CD) может получить хэш пароля с помощью программы Tool_1CD  ХЕШ пароля в программе Тооl_1СD В клиент-серверной версии пользователь с доступом к базе SQL может получить хэш пароля с помощью программы CF & SQL  Формирование и выполнение запроса к таблице v8users  Получение хеша в окне просмотра данных пользователя Для подбора пароля необходимо запустить обработку подбора в любой конфигурации, занести полученный ранее хеш в поле "Хеш(Base64)", и выполнить команду подбора:  Получение пароля с помощью обработки "Подбор паролей", запущенной в пустой конфигурации Кроме этого получить пароль по хешу можно попытаться с помощью интернет-сервиса восстановления пароля
|
|||||||
