In che modo a Google non interessa gli "spazi" nelle password specifiche dell'applicazione?

Naviga le tue risposte
11

Di recente ho impostato "verifica in due passaggi" per il mio account Google.

Una delle funzionalità è la possibilità di creare "password specifiche per l'applicazione "per dispositivi che non supportano il processo in 2 passaggi. (App su smartphone come Android, BlackBerry o iPhone, client di posta come Microsoft Outlook, client di chat come Google Talk o AIM)

Quandocreiunadiquestepassword,Googletidicechegli"spazi" non contano.

Significa che ...

    Le password
  • vengono inviate in chiaro e possono quindi rimuovere gli spazi dall'altra parte (so che i client di posta elettronica possono farlo, ma potrebbero utilizzare prodotti Google come Gmail e Calendar o ActiveSync)
  • i metodi di hashing che usano eliminano gli spazi (ma non sarebbero in grado di controllare l'hash dei prodotti di terze parti)
  • memorizzano due hash delle password sulla loro estremità, una con spazi e amp; l'altro senza (Se questo è il caso, non dovrebbero memorizzare più di due, uno per ogni possibile combinazione di 3 luoghi in cui uno spazio può essere)
posta Corey 17.01.2012 - 16:01
fonte

2 risposte

9
  • Le password vengono inviate in formato testo, ecco perché utilizzi SSL per configurare una connessione sicura in modo che nessuno possa annusare le tue comunicazioni. Suggerirebbe di inviare una password con hash, sarebbe comunque in grado di annusare l'hash e falsificare una richiesta, poiché il server si aspetterebbe un hash anziché la password. (che è fondamentalmente solo una stringa di nuovo)
  • L'archiviazione degli hash viene effettuata principalmente per assicurarsi che il database sia hackerato / esaminato non possono vedere la tua password e provare a riutilizzarla su altri account / servizi.
  • È possibile rimuovere gli spazi prima di eseguire l'hashing della password. Come dici tu stesso, mantenendo l'hash di una password per ogni possibilità in cui uno spazio bianco potrebbe essere, memorizzerebbe più hash. Oppure la password è sempre composta da quattro gruppi di quattro lettere. Quindi sarebbe facile rimuovere prima tutti gli spazi e poi suddividerlo nuovamente in 4 gruppi di 4 lettere.
risposta data 17.01.2012 - 16:12
fonte
4

Molto probabilmente la risposta è:

Le password vengono inviate al server di Google, tramite un canale crittografato con SSL. Pertanto, il server di Google vede la password fornita dal client. Il server di Google rimuove gli spazi prima di eseguire il hashing della password. Quindi, puoi pensare che la password non abbia spazi (gli spazi vengono aggiunti solo per la visualizzazione). Oppure, puoi pensare che la password abbia spazi, ma il processo di hashing ignora gli spazi. Ad ogni modo, è equivalente alla fine.

Gli hash di terze parti sono irrilevanti. L'hashing è fatto dai server di Google, quindi tutto ciò che conta è come Google hash la password.

    
risposta data 30.08.2012 - 07:24
fonte

Leggi altre domande sui tag

Perché i clienti offrono l'handshaking con il protocollo SSL 2.0 Strumento per la crittografia a chiave pubblica in cui la password è la chiave privata?