Действительно ли использование является безопасностью GUID хотя мрак?

По-моему, ответ нет.

Если Вы устанавливаете пароль, чтобы быть недавно созданным GUID, то это - довольно безопасный пароль: больше чем 8 charcters, содержит числа, специальные символы ответа букв, и т.д.

Конечно, в GUID положение '{', '}' и '-' известны, а также то, что все буквы находятся в верхнем регистре. Так, пока никто не знает, что Вы используете GUID, пароль более трудно взломать. После того как взломщик знает, что ищет GUID, усилие, необходимое для атаки перебором, уменьшает. С той точки зрения это - безопасность с помощью мрака.

Однако, рассмотрите этот GUID: {91626979-FB5C-439A-BBA3-7715ED647504} Если Вы предполагаете, что взломщик знает положение специальных символов, его проблема уменьшается до нахождения строки 91626979FB5C439ABBA37715ED647504. Скот, вызывающий 32 пароля символов? Это только произойдет в Ваше время жизни, если кто-то изобретет рабочий квантовый компьютер.

Это - безопасность при помощи очень, очень длинный пароль, не мраком.

Править: После чтения ответа Denis Hennessy я должен пересмотреть ответ. Если GUID действительно содержит эту информацию (конкретно MAC-адрес) в decryptable форме, взломщик может значительно уменьшить ключевое пространство. В этом случае это определенно была бы безопасность с помощью мрака, читать: довольно небезопасный.

И конечно MusiGenesis является правильным: существует много инструментов, которые генерируют (псевдо) случайные пароли. Моя рекомендация состоит в том, чтобы придерживаться одного из тех.

На самом деле с помощью GUID, поскольку пароль не является хорошей идеей (по сравнению с предложением действительно случайного пароля эквивалентной длины). Хотя это кажется длинным, это - на самом деле только 16 байтов, который обычно включает MAC-адрес пользователя, дату/время и небольшой случайный элемент. Если бы хакер может определить пользовательский MAC-адрес, это относительно просто для предположения возможного GUID, который он генерировал бы.

GUID должен предотвратить случайные коллизии, не намеренные. Другими словами, Вы вряд ли предположите GUID, но это должно не обязательно трудно узнать, хотите ли Вы действительно.

Я соглашаюсь с большинством других людей, что это лучше, чем слабый пароль, но было бы предпочтительно использовать что-то более сильное как обмен сертификата, который предназначен для этого вида аутентификации (если устройство поддерживает его).

Я также удостоверился бы, чтобы Вы сделали своего рода взаимную аутентификацию (т.е. имейте устройство, проверяют сертификат SSL серверов, чтобы гарантировать, что это - то, которое Вы ожидаете). Было бы достаточно легко из меня захватить устройство, чтобы включиться это в мою систему и прочитать GUID его затем воспроизводит тот назад к целевой системе.

Сначала я был готов дать неполное да, но это получило меня думающий о том, означало ли это, что ВСЯ основанная на пароле аутентификация является безопасностью с помощью мрака. В самом строгом смысле я предполагаю, что это, в некотором роде.

Однако принятие Вас имеет пользователей, входящих в систему с паролями, и Вы не отправляете тот GUID нигде, я думаю, что риски перевешиваются меньшим количеством безопасных паролей, которые пользователи имеют, или даже пароль системного администратора.

Если Вы сказали, что URL к администраторской странице, которая не была иначе защищена, включал твердый кодированный GUID, то ответ будет определенным да.

Если можно наблюдать отправляемый GUID (например, через Автора HTTP), то это не важно, насколько отгадываемый это.

Некоторые сайты, как Flickr, используют ключ API и секретный ключ. Секретный ключ используется для создания подписи через хеш MD5. Сервер вычисляет ту же подпись с помощью секретного ключа и делает автора тот путь. Секрет никогда не должен пробегаться через сеть.

Это лучше, чем использование "пароля" как пароль, по крайней мере.

Я не думаю, что GUID считали бы сильным паролем, и существует много генераторов сильного пароля там, что Вы могли использовать так же легко как Гуид. NewGuid ().

В целом Вы представляете уязвимости системы обеспечения безопасности при встраивании ключа устройстве, или если Вы передаете ключ во время аутентификации. Не имеет значения, вводят ли они, GUID или пароль, как единственное криптографическое различие находится в их длине и случайности. В любом случае взломщик может или просканировать память Вашего продукта или подслушать процесс аутентификации.

Можно смягчить это несколькими способами, каждый из которых в конечном счете сводится к увеличению мрака (или уровень защиты) ключа:

• Зашифруйте ключ перед хранением его. Конечно, теперь необходимо сохранить тот ключ шифрования, но Вы представили уровень абстракции.

• Вычислите ключ, вместо того, чтобы хранить его. Теперь взломщик должен перепроектировать Ваш алгоритм, вместо того, чтобы просто искать ключ.

• Передайте хеш ключа во время аутентификации, а не самого ключа, как другие предположили или используют аутентификацию типа "запрос-ответ". Оба из этих методов препятствуют тому, чтобы ключ был передан в простом тексте. SSL также выполнит это, но затем Вы в зависимости от пользователя для поддержания надлежащей реализации; Вы потеряли контроль над безопасностью.

Как всегда, каждый раз, когда Вы обращаетесь к безопасности, необходимо рассмотреть различные компромиссы. Какова вероятность нападения? Каков риск, если нападение успешно? Какова стоимость безопасности с точки зрения разработки, поддержки и удобства использования?

Хорошее решение обычно является компромиссом, который обращается к каждому из этих факторов удовлетворительно.Удачи!

Это действительно зависит от того, что Вы хотите сделать. Используя GUID, поскольку пароль не является сам по себе безопасностью через мрак (но остерегайтесь того, что GUID содержит много отгадываемых битов из 128 общих количеств: существует метка времени, некоторые включают MAC-адрес машины, которая генерировала его, и т.д.), но настоящая проблема состоит в том, как Вы сохраните и передадите тот пароль к серверу.

Если пароль хранится на сценарии серверной стороны, который никогда не показывают конечному пользователю, нет большого количества риска. Если пароль встраивается в некоторое приложение, которое пользователь загружает на его собственную машину, то необходимо будет запутать пароль в приложении, и нет никакого способа сделать это надежно. Путем выполнения отладчика пользователь будет всегда мочь получить доступ к паролю.

Это - только безопасность через мрак до такой степени, что это - каковы пароли. Вероятно, основная проблема с использованием GUID как пароль состоит в том, который только обозначает буквами, и числа используются. Однако GUID довольно длинен по сравнению с большинством паролей. Никакой пароль не безопасен к исчерпывающему поиску; это довольно очевидно. Просто, потому что GUID может или не может иметь некоторого основания на своего рода метке времени, или возможно MAC-адрес несколько не важен.

Различие в вероятности предположения его и что-то еще довольно минимально. Некоторые GUID могли бы быть "легче" (чтение: более быстрый) для повреждения затем других. Дольше лучше. Однако больше разнообразия в алфавите также лучше. Но снова, исчерпывающий поиск показывает все.

Уверенный это - безопасность с помощью мрака. Но это плохо? Любой "сильный" пароль является безопасностью с помощью мрака. Вы рассчитываете на систему аутентификации, чтобы быть безопасными, но в конце, если Ваш пароль легко предположить затем, что не имеет значения, насколько хороший система аутентификации. Таким образом, Вы делаете "сильный" и "неясный" пароль, чтобы мешать предполагать.

Я рекомендую против использования GUID как пароль (кроме, возможно, как начальный, который будет изменен позже). Любой пароль, который должен быть записан, чтобы помниться, по сути небезопасен. Это будет записано.

Править: "по сути" неточно. посмотрите разговор в комментариях