SP24 | 2019-02-10 10:36:52 UTC | #1
Witam wszystkich!
Dzisiaj zaprezentuje mój plugin na logowanie na serwer za pomocą PINu.
Każdy gracz po wejściu na serwer (jeśli nie ma pinu) będzie musiał założyć pin w GUI, które wyświetli się po dołączeniu gracza.
Plugin będzie cały czas rozwijany oraz optymalizowany. Wszelkie problemy/pytania/propozycje piszcie tutaj na forum w odpowiedziach lub na GitHubie w zakładce Issues
Wymagania serwera:
GitHub: https://github.com/SopelPL/SPin
riko.dev | 2018-08-04 18:42:48 UTC | #2
Ciekawy pomysł na projekt, jednak samo logowanie pozostawia wiele do życzenia jeśli chodzi o bezpieczeństwo takiego logowania. W przypadku standardowego hasła mamy znaki specjalnie oraz litery, natomiast hasło “cyfrowe” łatwiej złamać. Dostajesz + za sam pomysł i realizacje.
SP24 | 2018-08-04 18:46:37 UTC | #3
Dziękuję za opinie. Masz racje, taki kod można łatwo złamać. Zastanawiałem się nad limitem liczb w pinie, ale chyba nie wprowadze go. Jeśli będziecie chcieli dodam hashowanie kodu metodą MD5
DBanaszewski | 2018-08-04 18:51:18 UTC | #4
Plugin jest ok, widziałem takie same, ale płatne na spigotmc.org.
Dla PINu 4-cyfrowego jest to niby około 10k kombinacji (lub wariacji, kto jak uważa).
Dla PINu 5-cyfrowego jest już 100k kombinacji, więc ja bym wstawił odgórny minimalny limit np. 5 cyfr :stuckouttongue:
riko.dev | 2018-08-04 18:52:44 UTC | #5
Dodatkowo proponuje dodanie możliwości zablokowania łatwych pinów (12345, 123456789, itd.). Zawsze plus do bezpieczeństwa. ;)
bopke | 2018-08-04 18:56:43 UTC | #6
Czy ja dobrze widze, a raczej nie widze szyfrowania tych pinów? Od tak administracja w każdej chwili może podglądać piny graczy? To jest błąd kardynalny który eliminuje w ogóle poważne używanie tego typu rozwiązań.
@DBanaszewski 4,5… a 8 to dopiero duzo kombinacji. Możliwość wybrania długości wygląda znacznie lepiej ;P
SP24 | 2018-08-04 18:59:08 UTC | #7
Spokojnie w następnej aktualizacji którą wydam jutro dodam szyfrowanie pinów. Co do blokowania łatwych pinów to do configu dodam liste niebezpiecznych pinów.
DoreK | 2018-08-04 22:18:36 UTC | #8
[quote=”SP24, post:1, topic:7676”]
* Wersja 1.12.2 (Spigot)
[/quote]
Rozumiem że paperspigot albo bukkit już nie wchodzi w grę?
[quote=”riko.dev, post:2, topic:7676”]
Ciekawy pomysł na projekt
[/quote]
Widziałem coś takiego na wielu polskich serwerach.
A brak szyfrowania jest poważną luką, nie tylko ze względu na możliwość poznania przez administrację kodu, ale też przez hakerów - ile to już przecieków haseł z serwerów MC z nieszyfrowanymi hasłami mieliśmy?
Nieznajomy11 | 2018-08-05 02:48:30 UTC | #9
Jeszcze warto zaznaczyć, że jakieś mocniejsze metody szyfrowania tutaj nie mają sensu, jest tutaj na tyle mało kombinacji, że zaraz będzie tabelka gotowa do tego.
Należałoby zastosować jeszcze solenie za pomocą losowego ciągu znaków, wtedy będzie już jakiś poziom.
SP24 | 2018-08-05 05:33:19 UTC | #10
Podałem silnik jaki wykorzyatałem do napisania pluginu.
SP24 | 2018-08-05 05:34:45 UTC | #11
[quote=”Nieznajomy11, post:9, topic:7676”]
Należałoby zastosować jeszcze solenie za pomocą losowego ciągu znaków, wtedy będzie już jakiś poziom.
[/quote]
Co masz na myśli?
Nieznajomy11 | 2018-08-05 11:16:11 UTC | #12
https://pl.wikipedia.org/wiki/S%C3%B3l_(kryptografia)
W sumie to ten opis z wiki naprawdę ładny i konkretny.
SP24 | 2018-08-05 18:49:11 UTC | #13
Ok dzięki za informacje
SP24 | 2018-08-06 05:26:05 UTC | #14
UPDATE! (#1.1)
Dodano:
Zmieniono:
Wszystkie pliki na GitHubie (włącznie z plikiem .jar) zostały zaktualizowane!
kacper | 2018-08-06 15:26:38 UTC | #15
Nie używaj MD5… to bardzo słaba metoda
DoreK | 2018-08-06 15:30:47 UTC | #16
[quote=”SP24, post:14, topic:7676”]
* Szyfrowanie pinu metodą MD5
[/quote]
MD5 powinno nazywać się XD⁵, wybranie tej metody jest równe z brakiem szyfrowania
SP24 | 2018-08-06 15:43:30 UTC | #17
W takim razie jaką metode preferujesz?
Nieznajomy11 | 2018-08-06 15:46:30 UTC | #18
SHA-256 chociażby. No i nadal nie ma soli, więc w tym przypadku wygenerowanie tabelki do tego i rozwiązanie wszystkich hashy to sekundy.
SP24 | 2018-08-06 16:09:25 UTC | #19
Potrzebuje troche czasu aby ogarnąć sól.
DoreK | 2018-08-06 18:19:26 UTC | #20
A może bcrypt?
SP24 | 2018-08-06 18:48:44 UTC | #21
Dobry pomysł. Dzięki