MoodleDocs - Ultime modifiche [it]

Password salting

2009-11-20T08:20:54Z

Come funziona il password salting?

← Versione meno recente		Versione delle 08:20, 20 nov 2009
(2 revisioni intermedie non mostrate.)
Riga 5:		Riga 5:
	Il [http://en.wikipedia.org/wiki/Salt_%28cryptography%29 Password salting] è un metodo per rendere più robuste le password aggiungendo una stringa di caratteri random alla password prima di effettuare il calcolo dell'hash md5 (tanto maggiore è la lunghezza del salt, tanto più robusto sarà l'hash md5).		Il [http://en.wikipedia.org/wiki/Salt_%28cryptography%29 Password salting] è un metodo per rendere più robuste le password aggiungendo una stringa di caratteri random alla password prima di effettuare il calcolo dell'hash md5 (tanto maggiore è la lunghezza del salt, tanto più robusto sarà l'hash md5).

-	==~~Abitare~~ il password salting==	+	==Abilitare il password salting==

	Per impostare un password salt, è necessario aggiungere la linea seguente al file config.php:		Per impostare un password salt, è necessario aggiungere la linea seguente al file config.php:
Riga 24:		Riga 24:
	$CFG->passwordsaltmain = 'il nuovo salt';		$CFG->passwordsaltmain = 'il nuovo salt';

-	Se si desidera cambiare ulteriormente il salt, si devono mantenere tutti i salt precedenti (almeno fino a a quando tutti gli utenti avranno eseguito il login e l'hash della loro password sarà stato aggiornato con il nuovo salt). E' possibile mantenere fino a 20 salt usando la sintassi $CFG->passwordsaltalt2, $CFG->passwordsaltalt3, eccetera.	+	Se si desidera cambiare ulteriormente il salt, si devono mantenere tutti i salt precedenti (almeno fino a quando tutti gli utenti avranno eseguito il login e l'hash della loro password sarà stato aggiornato con il nuovo salt). E' possibile mantenere fino a 20 salt usando la sintassi $CFG->passwordsaltalt2, $CFG->passwordsaltalt3, eccetera.

	''Attenzione: se si modifica il salt senza mantenere il precedente, no sarà più possibile eseguire il login nel sito!''		''Attenzione: se si modifica il salt senza mantenere il precedente, no sarà più possibile eseguire il login nel sito!''
Riga 62:		Riga 62:
	Se la password non risulta valida né con né senza salt, il codice cerca altri 20 salt alternativi.		Se la password non risulta valida né con né senza salt, il codice cerca altri 20 salt alternativi.

-	~~If you change salts~~, ~~in order not to orphan existing user accounts~~, ~~you must enter the old~~ salt ~~into one of the alternate slots~~.	+	Se il salt viene modificato, per evitare che gli acocunt già esistenti non possano più autenticarsi, è indispensabile mantenere il salt precedete come indicato in 'Modificare il salt'.

	Quando un utente si autentica con una password il cui hash non è più quello attuale, il codice eseguirà il test con tutti gli altri salt disponibili.		Quando un utente si autentica con una password il cui hash non è più quello attuale, il codice eseguirà il test con tutti gli altri salt disponibili.

Password salting

2009-11-19T20:23:53Z

en link

← Versione meno recente		Versione delle 20:23, 19 nov 2009
Riga 7:		Riga 7:
	==Abitare il password salting==		==Abitare il password salting==

-	Per impostare un password salt, è necessario aggiungere la linea seguente al file ~~[[Configuration file\|~~config.php ]]:	+	Per impostare un password salt, è necessario aggiungere la linea seguente al file config.php:

	$CFG->passwordsaltmain = 'una stringa molto lunga con numerosi caratteri';		$CFG->passwordsaltmain = 'una stringa molto lunga con numerosi caratteri';
Riga 68:		Riga 68:
	Se è possibile autenticare l'utente l'hash md5 sarà aggiornato con il salt main.		Se è possibile autenticare l'utente l'hash md5 sarà aggiornato con il salt main.

-		+	[[en:Password salting]]
-	[[~~Categoria~~:~~Security]]~~	+
-		+
-	~~[[es:report/security/report_security_check_passwordsaltmain]]~~	+
-	~~[[fr:Salage de mot de passe~~]]	+

MoodleDocs:Utenti

2009-11-19T20:14:35Z

ha cancellato "[[MoodleDocs:Utenti]]" content moved to report/security/report security check passwordsaltmain

Nuova pagina

report/security/report security check passwordsaltmain

2009-11-19T20:11:43Z

ha spostato [[report/security/report security check passwordsaltmain]] a [[Password salting]]

Nuova pagina

report/security/report security check passwordsaltmain

2009-11-19T20:10:16Z

Nuova pagina

==Cosa è il password salting?==

In Moodle le password sono memorizzate in forma criptata, detta '[http://en.wikipedia.org/wiki/MD5_hash md5 hash]'.

Il [http://en.wikipedia.org/wiki/Salt_%28cryptography%29 Password salting] è un metodo per rendere più robuste le password aggiungendo una stringa di caratteri random alla password prima di effettuare il calcolo dell'hash md5 (tanto maggiore è la lunghezza del salt, tanto più robusto sarà l'hash md5).

==Abitare il password salting==

Per impostare un password salt, è necessario aggiungere la linea seguente al file [[Configuration file|config.php ]]:

$CFG->passwordsaltmain = 'una stringa molto lunga con numerosi caratteri';

La stringa di caratteri random dovrebbe contenere lettere, numeri ed altri caratteri. Per ottenere una stringa random è possibile usare il [http://dev.moodle.org/gensalt.php Moodle Salt Generator]. Si raccomanda di usare una stringa di almeno 40 caratteri.

''Nota'': Per motivi di sicurezza è possibile abilitare il password salting solamente aggiungendo il salt al file config.php - non è possibile abilitarlo dall'interfaccia di Moodle.

==Modificare il salt==

Se si desidera modificare il salt, il salt precedente deve essere mantenuto nel file config.php assieme al nuovo salt.

<code>passwordsaltmain</code> deve essere cambiato in <code>passwordsaltalt1</code> (seguire esattamente la sintassi) come segue:

$CFG->passwordsaltalt1 = 'il salt precedente';
$CFG->passwordsaltmain = 'il nuovo salt';

Se si desidera cambiare ulteriormente il salt, si devono mantenere tutti i salt precedenti (almeno fino a a quando tutti gli utenti avranno eseguito il login e l'hash della loro password sarà stato aggiornato con il nuovo salt). E' possibile mantenere fino a 20 salt usando la sintassi $CFG->passwordsaltalt2, $CFG->passwordsaltalt3, eccetera.

''Attenzione: se si modifica il salt senza mantenere il precedente, no sarà più possibile eseguire il login nel sito!''

==Disabilitare il password salting==

'''Nota''': Fortemente sconsigliato! Una volta abilitato, non disabilitate il password salting.

Per disabilitare il password salting in Moodle, è possibile eliminare, commentare o modificare il salt con una stringa vuota.

// ESEMPIO: salt con stringa vuota
$CFG->passwordsaltmain = <nowiki>''</nowiki>;

// ESEMPIO: salt commentato
/*
$CFG->passwordsaltmain = <nowiki>''</nowiki>;
*/

Naturalmente è anche necessario mantenere il salt precedente, esattamente come per la modifica di salt:

$CFG->passwordsaltalt1 = 'il salt precedente';
$CFG->passwordsaltmain = <nowiki>''</nowiki>;

==Importare utenti da altri siti==

Se si desidera importare utenti da altri siti che fanno uso di password salting, è necessario aggiungere il salt dei siti di provenienza al file config.php. E' possibile aggiungere fino a 20 salt

$CFG->passwordsaltalt1, $CFG->passwordsaltalt2, ... $CFG->passwordsaltalt20

==Come funziona il password salting?==

Durante il controllo di una password, il codice cerca il salt contenuto in <code>CFG->passwordsaltmain</code>. Se il codice trova il salt, la password viene concatenata con il salt subito prima di calcolare l'hash md5.

Se la password dovesse risultare valida anche senza salt, il codice presume che il salt è stato impostato dopo l'ultimo login dell'utente. In seguito l'hash md5 viene aggiornato usando il salt.

Se la password non risulta valida né con né senza salt, il codice cerca altri 20 salt alternativi.

If you change salts, in order not to orphan existing user accounts, you must enter the old salt into one of the alternate slots.

Quando un utente si autentica con una password il cui hash non è più quello attuale, il codice eseguirà il test con tutti gli altri salt disponibili.

Se è possibile autenticare l'utente l'hash md5 sarà aggiornato con il salt main.

[[Categoria:Security]]

[[es:report/security/report_security_check_passwordsaltmain]]
[[fr:Salage de mot de passe]]

MoodleDocs:Utenti

2009-11-19T19:34:36Z

ha spostato [[MoodleDocs:Utenti]] a [[report/security/report security check passwordsaltmain]]

Nuova pagina

MoodleDocs:Utenti

2009-11-19T19:34:01Z

ha spostato [[MoodleDocs:Utenti]] a [[http://docs.moodle.org/it/report/security/report security check passwordsaltmain]]

Nuova pagina