שליחת סיסמא למייל

[ינח]

יש לי שאלה לגבי שליחת סיסמא לאמייל.
תמיד השתמשתי בקוד למטה כדי לשלוח לאמייל
פה יש לי 2 בעיות
1. אני לא בטוחה שהאמייל יהיה מסוג gmail.
2. אני לא אדע מה הסיסמא של מי שיקבל את האמייל.
שאלתי איך ניתן לשלוח סיסמא לאמייל שיפתור את הבעיות הנ"ל.
תודה מראש

הקוד:

string Host = "smtp.gmail.com";
Int16 Port = 587;
bool SSL = true;
string Username = "<לא ניתן לפרסם מיילים באופן פומבי>";
string Password = "11111111";

//of this person
string strMail = Request["email"];
string massg = Request["massage"];

// Mail options
string To = strMail;
string From = "from";
string Subject = "sub";
string Body = "body";

MailMessage mm = new MailMessage(From, To, Subject, Body);
 SmtpClient sc = new SmtpClient(Host, Port);
NetworkCredential netCred = new NetworkCredential(Username, Password);
sc.EnableSsl = SSL;
sc.UseDefaultCredentials = false;
sc.Credentials = netCred;

try
{
       Console.WriteLine("Sending e-mail message...");
       sc.Send(mm);
}
catch (Exception ex)
{
       Console.WriteLine("Error: {0}", ex.ToString());
}

 

[wmw]

לפי מה שאני מבין, את מנסה ליצור עמוד שבו המשתמש [הגולש] יזין את פרטי שרת שליחת הדואר של עצמו, ואז ישלח דואר באמצעותו.

אז קודם כל, תני קצת רקע, כי איזה משתמש ישים את הסיסמה שלו באתר שלך???
צריך להיות זקן תמים מדי בכדי לעשות את זה.

בכל אופן, אם את בכל זאת מעוניינת לעשות זאת, תיצרי לך רשימה של הגדרות כל שירותי המייל הנפוצים, ואז תני לבחור מתוך רשימה [DROP DOWN LIST] את השירות המבוקש

 

[ינח]

אני יודעת שאף אחד לא יכניס את הסיסמא שלו...
אני צריכה קוד לשליחה לכל סוגי האימיילים (ללא הכנסת סיסמא) כדי לשלוח לו את הסיסמא (אם שכח) לכניסה לאתר.
מקווה שעכשיו הובן.
תודה

 

[wmw]

אז יש לך ממש טעות
אין שום צורך בזה
שולחים לו את המייל לכתובת שהוא מספק, כשהשולח זה חשבון הג'ימייל שיש לך עם השם וסיסמה שלך.

כמו שאת שולחת מייל לכל נמען מחשבון הג'ימייל שלך

 

[ינח]

אז יש לך ממש טעות
אין שום צורך בזה
שולחים לו את המייל לכתובת שהוא מספק, כשהשולח זה חשבון הג'ימייל שיש לך עם השם וסיסמה שלך.

כמו שאת שולחת מייל לכל נמען מחשבון הג'ימייל שלך

תודה,
לא שמתי לב לפני.

(בקוד למעלה שכתבתי זה עובד)

 

[wmw]

אם כבר, איך את שומרת את הסיסמה במסד הנתונים?
ככה כמו שכותבים אותה?
או מוצפנת?

 

[ינח]

אני צריכה לשמור אותה מוצפנת
איך אתה עושה את זה?

 

[wmw]

בעקרון, מה שצריך לעשות, זה לשמור את הסיסמה מוצפנת בצורה חד כיוונית.
קצת מושגים בהצפנה:
כשאני מצפין בצורה דו כיוונית, יש לי "מפתח" שבאמצעותו אני "מערבל" את הטקסט המקורי, ובאמצעות אותו מפתח, אני גם מפענח את הטקסט המעורבל, ומנפיק ממנו את הטקסט המקורי.

במידה ומישהו יצליח לקבל גישת קריאה למסד הנתונים, הוא עלול למצוא את הסיסמאות של כולם, וגם אם הן מוצפנות במפתח חזק, במידה ויש לו חשבון [או כמה חשבונות] משלו, שהוא יודע את הסיסמה, הוא יצליח לפענח את ההצפנה.
[גם במידה והוא יצליח לקרוא את טבלת המשתמשים, הוא גם יכול לקרוא את פונקציית ההצפנה או הפיענוח]
לכן השימוש הוא בשיטת הצפנה חד כיוונית, דהיינו: במסד הנתונים נשמר טקסט שאין שום אפשרות להגיע אל הסיסמה באמצעותו [אלא בניסוי וטעייה של כל הסיסמאות האפשריות]

לכל מסד נתונים ישנם דרכים משלו כיצד להצפין בצורה חד כיוונית.

כשמשתמש מבצע לוג אין, הוא מספק סיסמה, ואז מעבירים באותו מערבל חד כיווני את הסיסמה שהוא סיפק, ובודקים האם התוצאה זהה לתוצאה השמורה במסד הנתונים...

כאשר משתמש שוכח את סיסמתו, אין אפשרות לשלוח לו אותה, כי בשום מקום לא קיימת הסיסמה המקורית, רק המעורבלת, והיא כידוע הוצפנה בצורה חד כיוונית.

מה עושים?
שומרים בטבלה מיוחדת 3 שדות
1. שדה של מספר משתמש [USER_ID]
2. שדה תאריך ושעה
3. שדה מפתח אקראי

כשמשתמש נכנס לדף "שכחתי סיסמה" ומבקש סיסמה חדשה. הוא מספק כתובת מייל [אפשר גם לאחר שאלת אבטחה] ואז בודקים בטבלת המשתמשים למי שייכת כתובת המייל הזו.
מוסיפים לטבלה המיוחדת את מספר המשתמש, את השעה והתאריך שבה נוצרה השורה, ומחרוזרת אקראית ארוכה של ספרות ואותיות.
בונים דף מיוחד [מלבד העמוד של "שכחתי סיסמה"] לאיפוס סיסמה, ושולחים למייל של המשתמש לינק לאותו דף, כשבלינק ישנו פרמטר המכיל את המחרוזת הנ"ל.

כשהמשתמש ילחץ על הלינק, הוא יזוהה באמצעות המחרוזת הייחודית, ואז תינתן לו האפשרות לקבוע לעצמו סיסמה חדשה.
לאבטחת העניין, יש להקצות משך זמן מקסימלי לביצוע האיפוס, למשל שעה, שלאחריו יש צורך להכנס מחדש לעמוד "שכחתי סיסמה", כמו כן ברגע שהמשתמש זוהה, יש למחוק את השורה ממסד הנתונים [בכדי ש"מאזין" לרשת התקשורת לא יוכל לקרוא שוב לאותה הכתובת, או באמצעות היסטוריית הדפדפן]

זוהי הצורה המאובטחת ביותר, שבה משתמשות החברות הגדולות.

 

[KingYes]

יש פה שני דברים שונים.
יש פה סיסמה של שרת הדואר שלך.. שזה נרשם לפי היוזר שלך ל-GMAIL.

את הסיסמה [למערכת] את פשוט שולחת עם המחרוזת של ההודעה וזהו.

עוד לא הבנתי בדיוק אבל מה את מנסה לעשות :|

 

[wmw]

ציטוט מהודעה שלה
"אני צריכה קוד לשליחה לכל סוגי האימיילים (ללא הכנסת סיסמא) כדי לשלוח לו את הסיסמא (אם שכח) לכניסה לאתר."

זה מה שהיא צריכה לעשות

 

[ינח]

בעקרון, מה שצריך לעשות, זה לשמור את הסיסמה מוצפנת בצורה חד כיוונית.
קצת מושגים בהצפנה:
כשאני מצפין בצורה דו כיוונית, יש לי "מפתח" שבאמצעותו אני "מערבל" את הטקסט המקורי, ובאמצעות אותו מפתח, אני גם מפענח את הטקסט המעורבל, ומנפיק ממנו את הטקסט המקורי.
.
.
.
זוהי הצורה המאובטחת ביותר, שבה משתמשות החברות הגדולות.

וואו, איזה הסבר מפורט.
תודה רבה!
אנסה ואעדכן.
תוכל להראות לי דוגמא של קוד?

 

[wmw]

באיזה מסד נתונים את משתמשת?
בכל מסד נתונים זו פונקציה שונה

 

[ינח]

במסד נתונים sql server 2012

 

[wmw]

דווקא עשיתי את זה בשבוע שעבר
השדה שבו מוחזקת הסיסמה צריך להיות מסוג varbinary אני נתתי לו גודל 20, אבל לא בדקתי כמה באמת צריך
ה"בישול" של הקוד מהטקסט סל הסיסמה הוא כך:

HashBytes('MD5', @password)

כשהמשתנה password מכיל כמובן את הסיסמה

 

[חיים פ]

אפשר לאחסן את הפרטים בweb config ולהצפין אותו
יש איזור יעוד שם להגדרות מייל, אעלה דוגמא בהמשך

 

[wmw]

חיים, גם אתה מדבר על סיסמת המייל לשיחת ההודעות
כאן מדובר על שיחזור סיסמת מייל של חבר באתר

 

[chani-studi]

קצת מושגים בהצפנה:

וואהו,
הדרכה מצוינת ומושקעת
כל הכבוד !!!

 

[Shlomi]

md5+salt בהחלט מספיק.

אם כבר הצפנת סיסמאות...
ממליץ לראות כיצד במערכת phpbb עובדים על הצפנת (ערבול, אם נדייק.) הסיסמאות.

הערבול בו משתמשת המערכת הוא ערבול מוזר שהמציאו המפתחים עצמם, ועיקרו הרצת MD5 מספר פעמים תוך הוספת salt בין ריצה לריצה, מתוך אשליה שהתערובת המוזרה הזו תגביר את האבטחה. הסיבה לכך היא שידוע ש-MD5 היא שיטת ערבול לא בטוחה, ובזמן בו נכתבה phpbb3, לא כל פלטפורמות php תמכו בשיטות ערבול בטוחות יותר כמו SHA1 או SHA2.

אם ברצונך לקרוא את הפונקציה המעוותת שהמפתחים סרגו לערבול ססמאות (זהירות - הסתכלות ממושכת מדי בפונקציה זו יכולה לגרום לנזק לראייה)- היא נקראת phpbb_hash, בקובץ functions.php

* צוטט מדברי המשתמש "ttttt" מphpbb.co.il.

 

[wmw]

ב MYSQL יש את הפונקציה PASSWORD , שעושה את ההצפנה.

סתם כך טיפ קטן: לססמאות נפוצות, [1234 או qwer וכדומה] יש בעיה, כי אם נבדוק בגוגל את המחרוזת שיצאה מההצפנה שלהם, נמצא מיידית באיזה דף את התוצאה, מה שמסכן חשבונות של אנשים שלא יבחרו סיסמה חזקה.

הפתרון לזה הוא לבחור בעצמנו איזושהי מחרוזרת פשוטה, לא משנה איזו, וגם אין צורך בארוכה [2-3 אותיות זה כבר מספיק למטרה הזו, למרות שאות אחת גם תפעל מצויין]
את הסיסמה אנחנו נצרף למחרוזת ואז נערבל
כמובן שגם בבדיקת אימות סיסמה נבדוק כשאותה מחרוזת מצורפת.


ואם כבר נהניתם מההצפנה, אז הסבר על "חד כיווניות", רק הדגמה להבנת העניין.

אם למשל ניקח כל אות, ונחליף באות אחרת, או נוסיף לה ערך, או נכפיל אותה, נפחית ממנה, וכדומה. התוצאה היא דו כיוונית, כי כל מה שנצטרך לעשות זה ללכת את הדרך חזרה.
למשל, אם A = 64, נוסיף 3, נכפיל ב4, ונפחית 11.
כדי לפענח את זה, נוסיף 11, נחלק ב 4 ונפחית 3 וקבלנו חזרה 64.

אבל אם נשתמש במושג "שארית", נצליח לערבל לכיוון אחד, כי אם למשל נקח את A, נכפיל ב 17, נחלק ל 13, ונשמור רק את השארית, אי אפשר לעשות את זה שוב.
מפני שאותה תוצאה לכאורה יכולה לקרות מכמה וכמה מספרים.
[טוב, זה קצת יותר מסובך, כי משתמשים לערבול האות הבאה עם התוצאה של האות הקודמת וכך מגבירים את אי הוודאות]

תיאורטית, בהצפנה כזו, ייתכן ותוצאות של 2 סיסמאות שנות יהיו זהות, אך ההיתכנות רחוקה מאד מאד.

[יש עוד המון פרטים, למשל "מילוי", כי תוצאה של סיסמה קצרה וארוכה הן זהות, כדי שלא יכולו לנחש אפילו כמה סימנים יש בסיסמה]

מקווה שנהנתם

 

[mat]

md5+salt בהחלט מספיק.

אם כבר הצפנת סיסמאות...
ממליץ לראות כיצד במערכת phpbb עובדים על הצפנת (ערבול, אם נדייק.) הסיסמאות.

הערבול בו משתמשת המערכת הוא ערבול מוזר שהמציאו המפתחים עצמם, ועיקרו הרצת MD5 מספר פעמים תוך הוספת salt בין ריצה לריצה, מתוך אשליה שהתערובת המוזרה הזו תגביר את האבטחה. הסיבה לכך היא שידוע ש-MD5 היא שיטת ערבול לא בטוחה, ובזמן בו נכתבה phpbb3, לא כל פלטפורמות php תמכו בשיטות ערבול בטוחות יותר כמו SHA1 או SHA2.

אם ברצונך לקרוא את הפונקציה המעוותת שהמפתחים סרגו לערבול ססמאות (זהירות - הסתכלות ממושכת מדי בפונקציה זו יכולה לגרום לנזק לראייה)- היא נקראת phpbb_hash, בקובץ functions.php

* צוטט מדברי המשתמש "ttttt" מphpbb.co.il.

זה לא נכון ש md5 נפרץ מהסיבה הפשוטה. (תקן אותי אם אני טועה)

אם אני שם ב

md5("1234")

יוצר hash מאוד נפוץ.

אבל אם אני שם

md5("1234" . "fyrwycgifyrgdfhayhfy54rf7rrt4yuhweudh73")

לא יוצא hash נפוץ.

ככה שאני יכול להוסיף לכל מחרות מפתח משלי שבעצם נותן לי md5 משלי.

גם אם משהו ימצא את ההקשר לhash שלי אם הוא יכניס את זה בסיסמא הוא לא יצליח להיכנס כי אני מוסיף למחרוזת עוד מפתח ואז זה יהיה שונה.

גם אם הפורץ יודע את המפתח שלי , לנסות את כל הוריאציות זה לא מעשי ל 256^16
וריאציות.