Upgrade to Pro — share decks privately, control downloads, hide ads and more …

เก็บรหัสผ่านยังไงดี 2017

Manatsawin Hanmongkolchai
March 11, 2017
Programming
0
550

เก็บรหัสผ่านยังไงดี 2017

YWC Programmer Meetup #4

Manatsawin Hanmongkolchai

March 11, 2017
Tweet

More Decks by Manatsawin Hanmongkolchai

See All by Manatsawin Hanmongkolchai
Nix: Declarative OS
whs
0
54
gRPC load balancing with xDS
whs
0
860
ArgoCD
whs
0
390
Writing Babel Plugin
whs
0
170
What's new in Cloud Next 2019
whs
0
280
A Date with gRPC
whs
1
1.3k
ตีแผ่ Microservice ด้วย Tracing
whs
0
330
Next Generation Smart Home
whs
0
920
Istio and the Service Mesh Architecture
whs
3
1k

Other Decks in Programming

See All in Programming
Rails アプリ地図考 Flush Cut
makicamel
1
130
機能が複雑化しても 頼りになる FactoryBotの話
tamikof
0
110
データベースのオペレーターであるCloudNativePGがStatefulSetを使わない理由に迫る
nnaka2992
0
230
Honoをフロントエンドで使う 3つのやり方
yusukebe
7
3.5k
複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方
tc3jp
0
110
PHPカンファレンス名古屋2025 タスク分解の試行錯誤〜レビュー負荷を下げるために〜
soichi
1
670
kintone開発を効率化するためにチームで試した施策とその結果を大放出!
oguemon
0
120
Open source software: how to live long and go far
gaelvaroquaux
0
660
ナレッジイネイブリングにAIを活用してみる ゆるSRE勉強会 #9
nealle
0
150
sappoRo.R #12 初心者セッション
kosugitti
0
270
AIプログラミング雑キャッチアップ
yuheinakasaka
17
4.2k
Rubyで始める関数型ドメインモデリング
shogo_tksk
0
140

Featured

See All Featured
A designer walks into a library…
pauljervisheath
205
24k
Git: the NoSQL Database
bkeepers
PRO
427
65k
How to Ace a Technical Interview
jacobian
276
23k
RailsConf 2023
tenderlove
29
1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Producing Creativity
orderedlist
PRO
344
40k
Automating Front-end Workflow
addyosmani
1368
200k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.6k
Documentation Writing (for coders)
carmenintech
67
4.6k
Optimising Largest Contentful Paint
csswizardry
34
3.1k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
21
2.5k

Transcript

  1. เก็บรหัสผานยังไงดี 2017 YWC Programmer Meetup

  2. คั่นเวลา • ขอรหัสผานหนอย • 6 ตัว อักษรอังกฤษ ตัวเลข • เดี๋ยวจะทําอะไรใหดู

    • ไมตองใสรหัสจริงมานะ • https://madoka.whs.in.th/pwcrack.html ◦ HTTPS ดวย!!

  3. Who? • Manatsawin Hanmongkolchai (@awkwin) • ถาไมไดกดรับเฟรนก็สงขอความมาถามไดไมกัด • แตถาเขียนโคด insecure

    นี่กัด

  4. Why? • ทํา Freelance มาหลาย project • ทุก project ที่ตองไปยุง

    code เดิมมีชองโหวพื้นๆ หมด ◦ SQL Injection ◦ Insecure Password Hashing • ถาใหพูดทุกประเด็นคงไดเปนชั่วโมง

  5. ขออาง • "ใชคนเดียว ไมเปนไรหรอก" • "เดี๋ยวคอยแกก็ได"

  6. There are two primary causes for the unintentional creation of

    insecure web applications, regardless of the language being used: 1. A lack of knowledge about security 2. Bad development habits — ParagonIE

  7. เก็บรหัสผานยังไงดี? • สมัยผมหัดเขียนเว็บเคาใช MD5 $hashed = md5($_POST['password']);

  8. อยาใช MD5 • SHA1 จาย 5 แสนเหรียญ collision ได •

    แต MD5 รันไวสักวันสองวันก็ collision ได

  9. เก็บรหัสผานยังไงดี? • แลวเคาก็วา SHA1 $hashed = sha1($_POST['password']);

  10. อยาใช SHA1 • มี harddisk เหลือ ทําตาราง SHA1 (Rainbow Table)

    ไวก็ crack SHA1 ไดในพริบตา

  11. เก็บรหัสผานยังไงดี? • แลวเคาก็วาใส salt สิ จะไดปลอดภัย $salt = uniqid(); $hashed

    = sha1($_POST['password'] . $salt);

  12. ยินดีตอนรับสูยุคของ Cloud computing • เมื่อกี้ขอรหัสผาน ใสกันหรือยัง • ถาพรอมแลว ลุย!

  13. ยินดีตอนรับสูยุคของ Cloud computing • Google Cloud เชา K80 ชั่วโมงละ 30

    บาทเทานั้น!!! • งัด MD5 ได 4 พันลานครั้งตอวินาที • งัด SHA256 ได 642.1 ลานครั้งตอวินาที ◦ = รหัส 8 ตัว เสร็จใน 2 นาที • เชาไดถึง 8 ใบตอเครื่อง !!

  14. แลวเอาไงดี???? • ใช Algorithm "ชา" (>100ms) มีการดจอก็งัดไมทันหรอก ◦ Argon2 ◦

    bcrypt ◦ scrypt ◦ PBKDF2 (iPhone ใชอยู)

  15. PHP • PHP 5.5+ มี password hash function มาใหแลว ชวยใชหนอยเถอะ

    • $hash = password_hash($_POST['password'] PASSWORD_DEFAULT); • แลว Salt? มันจัดการใหหมดแลวไมตองไปยุง • (ตอนนี้) ใช algorithm bcrypt

  16. PHP • เวลาเช็ครหัสผานทําแบบนี้ • if(!password_verify($_POST['password'], $db_password)){ die('Wrong!'); } if(password_needs_rehash($db_password, PASSWORD_DEFAULT)){

    $db_password = password_hash($_POST['password'] PASSWORD_DEFAULT); } • password_verify จะเทียบรหัสผานโดยไมโดน timing attack • password_needs_rehash จะเช็ควารหัสใช algorithm ลาสุดหรือเปลา ถาไมใชก็ upgrade ได (ในกรณีที่ในอนาคต PHP เปลี่ยน default algorithm)

  17. PHP • ถาไมมี PHP5.5? • https://github.com/ircmaxell/password_compat • API เดียวกับเมื่อกี้ จบปง

  18. PHP • ถาไมมี PHP5.3.7??? • ไมยอมอัพเกรดขนาดนั้นก็สมควรโดน hack

  19. ใช Framework เถอะ • งงมั้ย? • Security งายนิดเดียว แคใช Framework

    ◦ Django (Python) ลง Argon2/Bcrypt เพิ่มได (อานใน Docs) หรือ default จะใช PBKDF2 ◦ อยาเขียนสิ่งที่ framework มันมีใหอยูแลว

  20. Paragonie Blog • เขียนสนุก เขาใจงาย สําหรับคนเขียน PHP • https://paragonie.com/blog/category/security-engineering

  21. จบ ถามไดไมกัด