[firebase-br] Opniao em criptografia
Gustavo Luis Hinterholz
gustavoluishinterholz em gmail.com
Qua Dez 10 10:05:07 -03 2014
Complementando, os links que mandei acessam uma base de dados com os MD5 já
prontos e suas respectivas strings, então não é um decoder, e sim uma busca
no banco dos caras pra ver se o teu hash corresponder a alguma string, com
pequenas palavras como "senhas" sem muitos caracteres especiais serve muito
bem, quando começa a complicar dificilmente tu acha algo.
Vou procurar o link onde ao invés da busca ele analisava e tentava fazer o
decode do MD5, mas nao sei se ainda está funcional.
Att
Gustavo Luis Hinterholz
9381-8192
*http://gustavohinterholz.blogspot.com.br/
<http://gustavohinterholz.blogspot.com.br/>* <http://www.gustavo/>
Em 10 de dezembro de 2014 09:57, Gustavo Luis Hinterholz <
gustavoluishinterholz em gmail.com> escreveu:
> Só lembrando que se o MD5 atualmente já é "quebrável", para testes pode:
> *Gerar um aqui*
> http://www.miraclesalad.com/webtools/md5.php
> *E fazer o decrypt aqui:*
> http://www.hashkiller.co.uk/md5-decrypter.aspx
>
> Ou seja, se alguem tivesse acesso ao MD5 puro, sem criptografia seria
> fácil de conseguir a string inicial.
> Eu recomendaria o SHA256 como o melhor custo benefício, nunca precisei
> implantar em nenhum projeto no firebird com cripto e hash, somente em
> outros bancos, por isso não sei te dar o caminho das pedras, mas na minha
> opinião eu não utilizaria o MD5.
> Mas é com o Gladiston falou, vai depender do nivel de segurança que
> necessitas e de quais informações vai precisar "esconder" caso alguem
> consiga o acesso as informacoes do BD.
>
>
> Att
> Gustavo Luis Hinterholz
> 9381-8192
> *http://gustavohinterholz.blogspot.com.br/
> <http://gustavohinterholz.blogspot.com.br/>* <http://www.gustavo/>
>
> Em 10 de dezembro de 2014 09:48, Gladiston Santana <gladiston em vidy.com.br>
> escreveu:
>
> Primeiramente seria legal usar charset none para esse campo que será
>> criptografado ou ofuscado.
>> Se quiser máxima segurança use hash (talvez md5) e a função de hash deverá
>> estar numa UDF que seria consumida pela sua procedure/trigger.
>> Com o hash nem o programador teria acesso porque não saberia a senha usada
>> pelo cliente. Mas teria de haver um campo de contra-prova, isto é, um
>> campo
>> que demonstre que a palavra-chave realmente funcionou para não produzir
>> uma
>> informação errada quando chave usada for incorreta. Normalmente ao gravar
>> voce gera um checksum da palavra descriptografada e grava neste campo de
>> contra-prova e quando for recuperar a informação criptografada confere se
>> o
>> checksum do valor já descriptografado é igual ao checksum da contra-prova.
>>
>> Jogar o algoritimo no database através de procedure é bacana, neste caso
>> se
>> não depender duma chave do cliente será apenas ofuscamento.
>> Se for criar sua propria rotina de ofuscamento, neste caso poderia usar
>> uma
>> variante que produza algarismos ASCII e evite os caracteres especiais para
>> tornar mais simples portar o codigo para outra linguagem ou RDBMS.
>>
>> Mas não dá para estabelecer regras, a opção correta depende do quão seguro
>> voce precisa que a informação seja protegida, quanto mais seguro, mais 'pé
>> no saco' será para dar suporte.
>>
>> inte+
>>
>> Em 10 de dezembro de 2014 00:04, Jean Alysson <jeanpapa em gmail.com>
>> escreveu:
>>
>> > Ola, um cliente me pediu pra criptografar os dados dos campos de valores
>> > das tabelas do contas a pagar e a receber, pra maior segurança.
>> >
>> > Seria melhor usar um algoritmo pelo Delphi ou direto do Firebird,
>> criando
>> > triggers para criptografar/descriptografar dados ?
>> >
>> > Se eu fizer pelo delphi, perco a funcionalidade de executar selects
>> direto
>> > no banco, IBExpert
>> >
>> > Qual algoritmo sugerem ?
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use:
>> http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>
>
>
Mais detalhes sobre a lista de discussão lista