muhamadnasron 0 Report post Posted January 13, 2005 camni.. apa jadi kalo kita tak encrypt user punya password dari sistem.. utk pengetahuan, sistem ni pakai db oracle.. dan satu lagi sistem pakai mysql.. so apa possibilities yg berlaku? sistem ni bukan online web, just company internal use. so apa keburukannya? maksud tak encrypt ni, camna pwd tu ditaip, camtuh la dia disimpan, cth.. kalo tak encrypt pwd= 1234, db=1234 tp kalo encrypt db=&86%$..apa kelemahannya? kalu sng kene [coklat ubat batuk]? apa yg akan dihack? camna nak [coklat ubat batuk]? Quote Share this post Link to post Share on other sites
encik pot pet 0 Report post Posted January 13, 2005 kalau tak encrypt,.... memang tak secure langsung la system awakkalau encrypt pun belum tentu secure.. antara contoh encryption yg bagus ialah winrar.... tapi key kena panjang la..kalau pendek2 senang jer nak bruteforcehttp://www.cacr.math.uwaterloo.ca/hac/ Quote Share this post Link to post Share on other sites
mohdfadly 24 Report post Posted January 16, 2005 nasron, selain dari teknik bruteforce, orang lain boleh tengok password tu dengan menggunakan network sniffer, mmg boleh tengok raw data, sbb tu password kena encrypt (bagi aku wajib utk encrpyt). Walaupun tak possible utk decrypt balik password tu tapi sekurang-kurangnya ko bleh slow it down the cracking process. Quote Share this post Link to post Share on other sites
BudakCumpung 0 Report post Posted January 17, 2005 guna strored procedure.. encyprt password.. maksunya.. database yang encrypt.. bukan sistemdatabase admin please verify.. Quote Share this post Link to post Share on other sites
fatah 0 Report post Posted January 18, 2005 erm.. camner wat pun, kalau kena sniff pun tetap tak 100%.. cuma dapat melambatkan penyerang tu dpt tahu,kalau login dari page, user dan paswd di antar melalui rangkaian, samada diencyptpada client side atau pun server side tetap totally same.melainkan menggunakan ssl dlm rangkaian. itupun dapat mengurangkankadar untuk informasi akaun itu terdedah kpd penyerang, ataupunmungkin sampai 0% (user aware certificate)camni la.. kalau orang post yg dah encrypt dari browser client cam site yahoo mail..apa salahnya, kalau penyerang tu post kan jeh yg dah encrypt tu jugak tanpa mengetahuipassword sebenar user yg diserang.. kan.. Quote Share this post Link to post Share on other sites
putramaya 0 Report post Posted January 20, 2005 Keburukannya...pihak yang boleh open database macam admin contohnya boleh tahulah password yang digunakan oleh orang tertentu.Dari segi secure perlindungan data...kalau dah boleh tengok data password dah tentu boleh tengok data2 dlm database tu tak kiralah encript ke atau tak encript password tu...Tapi itulah tujuannya, untuk mengelakkan pihak admin tahu apa password yg orang guna. Quote Share this post Link to post Share on other sites
mohdfadly 24 Report post Posted January 20, 2005 Keburukannya...pihak yang boleh open database macam admin contohnya boleh tahulah password yang digunakan oleh orang tertentu.Walaupun password tu dah encrypt kat dlm database, admin still boleh tahu real password ke? Quote Share this post Link to post Share on other sites
putramaya 0 Report post Posted January 26, 2005 PuteraworkAda apa-apa masalah......encrypt password yg disimpan dalam database ialah untuk mengelakkan pihak admin (atau orang yg boleh buka database) tahu apa password yg orang lain guna. Quote Share this post Link to post Share on other sites