Podstrony
|
 |
telcocafezastanawiam się jak bezpieczniej przechowywać hasła czy to w pliku czy w bazie, a konkretnie jakim sposobem je hashować. który sposób jest lepszy? md5(), crypt(), password() a może jeszcze co innego?baza , md5() a może jeszcze co innego?  też użyłbym md5 ale zaintrygowała mnie długość hasha password(): ma więcej znaków niż md5. Ja polecam sha1. Dlaczego? BEZPIECZNIEJSZY niz md5. W 1996 roku Dobbertin zaprezentował analizę kolizji funkcji haszującej algorytmu MD5. Chociaż nie był to jeszcze pełny atak na funkcję haszującą to jednak wystarczył, aby specjaliści w dziedzinie kryptografii zaczęli stosować silniejsze odpowiedniki, takie jak SHA-1 lub RIPEMD-160. Jednak sha1 ma rozwniez swoje slabe punkty. btw. w miare dobrym rozwiazaniem jest zastosowanie "haszowanie", hasza, np: md5(sha1("tekst")) Użytkownik adex edytował ten post 16 marzec 2006, 15:23 Tak przy okazji chciałem się zapytć, czy jest sens hashowania hasha? Tak przy okazji chciałem się zapytć, czy jest sens hashowania hasha? Tak przy okazji chciałem się zapytć, czy jest sens hashowania hasha? IMHO nie ma, gdyż sam hash jest niemożliwy do odczytania w drugą stronę, więc po co szyfrować dwa razy. brute forcem sie da :P a po co wogole hashowac haslo? jesli prowadze sam servis i tylko ja mam dostep do bazy :> A jesli ktos uzyska nieautoryzowany dostep do bazy? I co? Bedzie mial hasla urzytkownikow na tacy... Użytkownik adex edytował ten post 20 marzec 2006, 17:05 A jesli ktos uzyska nieautoryzowany dostep do bazy? I co? Bedzie mial hasla urzytkownikow na tacy... nie chodzi tutaj o możliwość zmiany hasła jedynie o możliwość odczytania go. Zazwyczaj ludzie używają jednego hasła do np kilku skrzynek pocztowych kilku kont email używają też tych samych loginów. Więc wyobraź sobie co się dzieje w momencie kiedy ktoś kopiuje twoją baze, z twojej strony internetowej. Twoja witryna automatycznie uzyskuje status : niebezpieczna i ilość użytkowników drastycznie spada, ponadto musisz się jeszcze użerać z ludźmi którzy stosowali te same hasła do innych witryn na przykład z zakupami i potem dostali rachunki lub jeśli rzeczony craker dzięki hasłom zdobytym w twojej bazie dostał się na skrzynki pocztowe i wysyłał spam/obraźliwe meile Mając hasło do czyjejś skrzynki/witryn/etc. można wyżadzić na prawde poważne szkody i każdy sposób żeby się przed tym uchronić jest dobry, a jako że komputery są co raz szybsze co raz krócej będzie trwało crakowanie haseł metodą brude force więc podwójne haszowanie jest niegłupie :) pzdr ja ktos uzyska nieautoryzowany dostep do bazy do se wyda polecenie: UPDATE userzy SET password='20e599a14e3999e5d0812511bb6ad4ef' WHERE user = 'admin'; i co mi da kodowanie hasla ?:> Ee tam wystarczy że się znajdzie jakiś craker z inwencją twórcza, a takich jak wiadomo w Polsce nie brakuje Poza tym często zdarza się, że na serwerze bazodanowym każdy może się zalogować z dowolnym loginem i hasłem i mieć uprawnienia USAGE, które wystarczą do odczytania haseł. Wystarczy SHA1+MD5. |
|
|
| Sitedesign by AltusUmbrae. | ||||
W trosce o komfort korzystania z naszego serwisu chcemy dostarczac Ci coraz lepsze uslugi. By moc to robic prosimy, abys wyrazil zgode na dopasowanie tresci marketingowych do Twoich zachowan w serwisie. Zgoda ta pozwoli nam czesciowo finansowac rozwoj swiadczonych uslug.
Pamietaj, ze dbamy o Twoja prywatnosc. Nie zwiekszamy zakresu naszych uprawnien bez Twojej zgody. Zadbamy rowniez o bezpieczenstwo Twoich danych. Wyrazona zgode mozesz cofnac w kazdej chwili.