Actualização de perfis e limpeza de utilizadores

Chip

Zwame Advisor
Boa tarde,

Iremos proceder a uma actualização dos perfis de utilizadores com vista a aumentar a segurança associada às contas de utilizador. Esta actualização impede que a password de um utilizador seja a mesma que o seu nome de utilizador. Quem está nesta situação poderá actualizar já o seu perfil em http://www.techzonept.com/profile.php?do=editpassword. Caso a alteração não seja feita, após a actualização os utilizadores serão automaticamente forçados a mudar a password aquando da primeira vez que se ligarem ao site.

Entretanto iremos também proceder a uma limpeza dos utilizadores inactivos, com vista a libertar nicks que estejam eventualmente ocupados por utilizadores que efectivamente não visitam a Techzone.
 
Contas inactivas são aquelas contas que não chegaram a ser activadas não é?

Se for vejo tantos que só fazem registo para ver os tópicos do hi5 :(
 
Contas inactivas são aquelas contas que não chegaram a ser activadas não é?

Se for vejo tantos que só fazem registo para ver os tópicos do hi5 :(

Costuma ser ao longo de 30 dias sem actividade.

De qualquer forma, não vejo qual é a mente brilhante que vai pôr a password igual ao nick.

EDIT

claro, mas apenas os admins.

Claro? Se eles estiverem encriptadas (como de resto deviam de estar) isso não será possível.
 
Última edição:
Boas,

Iremos considerar contas inactivas contas com 0 posts, sem login no fórum há mais de 6 meses e com um tempo de registo superior a 1 ano.

Quanto às passwords do fórum, as mesmas estão encriptadas e não são conhecidas por ninguém a não ser o próprio utilizador...

claro, mas apenas os admins.

...nem mesmo os administradores.
 
È possível vocês saber a password daqui do fórum?
Não directamente, pois a password em si não é guardada na base de dados (isso seria uma falha enorme de segurança).
É guardada uma hash, que neste caso (segundo sei), é o MD5 do MD5 da tua password. Quando fazes login o que o sistema faz é gerar o MD5 do MD5 da password que inseriste, e compara com o que está na base de dados para tentar efectuar uma autenticação.

#EDIT: Fica aqui a explicação de um dos developers do vBulletin (o software que se usa na Techzone): http://www.vbulletin.com/forum/showthread.php?t=211445
Na verdade ainda é usado mais um elemento gerado aquando do registo (user_salt) e guardado na base de dados.
 
Última edição:
Não directamente, pois a password em si não é guardada na base de dados (isso seria uma falha enorme de segurança).
É guardada uma hash, que neste caso (segundo sei), é o MD5 do MD5 da tua password. Quando fazes login o que o sistema faz é gerar o MD5 do MD5 da password que inseriste, e compara com o que está na base de dados para tentar efectuar uma autenticação.
A dificuldade estava em descubrir o MD5 da pass,pelo menos em todas as Forum Board que conheço,nenhum Utilizador comum sem ser um Cracker,consegue descobrir o Hash da tua pass.
Agora,
Se alguém tivesse o teu hash,que fosse descoberto numa falha,podes crer que estavas em maus lençóis :/
Btw,
A Techzone vai perder muitos users,pois maior parte deles inscreveram-se para aceder aos Classificados,e com 0 Posts Tornavam-se Power Members,outros por causa do hi5...
Cumps e Abraço.
 
Fazem muito bem, está mesmo a precisar de uma limpeza dos users inactivos.. principalmente aquando da altura dos hi5 que foi uma autêntica infestação...
 
A dificuldade estava em descubrir o MD5 da pass,pelo menos em todas as Forum Board que conheço,nenhum Utilizador comum sem ser um Cracker,consegue descobrir o Hash da tua pass.
Agora,
Se alguém tivesse o teu hash,que fosse descoberto numa falha,podes crer que estavas em maus lençóis :/
Btw,
A Techzone vai perder muitos users,pois maior parte deles inscreveram-se para aceder aos Classificados,e com 0 Posts Tornavam-se Power Members,outros por causa do hi5...
Cumps e Abraço.


Vai perder muitos users, sim. Mas users assim ninguém precisa :D
 
Fico contente por ver que finalmente deram a mão à palmatória e decidiram efectuar essa limpeza, já que numa discussão anterior tinham decidido que não a iriam fazer.
 
A dificuldade estava em descubrir o MD5 da pass,pelo menos em todas as Forum Board que conheço,nenhum Utilizador comum sem ser um Cracker,consegue descobrir o Hash da tua pass.
Agora,
Se alguém tivesse o teu hash,que fosse descoberto numa falha,podes crer que estavas em maus lençóis :/
Btw,
A Techzone vai perder muitos users,pois maior parte deles inscreveram-se para aceder aos Classificados,e com 0 Posts Tornavam-se Power Members,outros por causa do hi5...
Cumps e Abraço.
Como foi dito, o que é registado na base de dados é um hash MD5 de uma mistura entre o username e a password.
Depois de fazer o "hashing" da dita mistura, não é possível voltar atrás - os dados que o geraram não são recuperáveis.
Isso quer dizer que, mesmo numa trágica situação em que os dados da BD sejam revelados e as hashes sejam divulgadas, é bastante difícil para um cracker conseguir descobrir a password original. E quando digo "bastante difícil", é a ponto de ser quase impossível.
Nesta situação, um cracker só se iria interessar pelas passwords dos admins, uma vez que o trabalho de descobrir as passwords dos restantes users não compensaria, e com certeza que numa situação destas, os admins mudariam logo as passwords :)

Em suma, este esquema de protecção assegura que as passwords não são descobertas sem recurso a pelo menos supercomputadores ;)

Em contrapartida, um cracker poderia vasculhar a lista por passwords iguais ao username, uma vez que isso facilitar-lhe-ia bastante o trabalho, mas como dá para ver na notificação acima, os temos em que se podia usar o username como password estão no fim.

Em suma, mesmo que a tua hash fosse divulgada através de uma falha, não estarias em maus lençóis, simplesmente porque ninguém se daria ao trabalho de fazer o bruteforce à mesma.

@ tópico, também sou a favor desta limpeza. Assim eliminar-se-ão talvez milhares de registos "inúteis" da base de dados :)
Chip, é possível no fim dizeres o resultado? Quantos nicks foram eliminados?
 
Back
Topo