Podstrony
- telcocafe
- [PHP] Wyrażenia regularne. Zamienić name="info_imie" na name="{info_imie}"
- [php] Dodanie textu do pliku. Problem... :) POMOCY!!!!!!!!!!!!!
- [PHP] Skrypt cenzury Chcę cenzury!!!
- Dobre programy do edycji php Dobre programy do edycji php
- [PHP] podział na strony php: podział na strony
- jak zrobic aktualizacje php? pomocy!!!!!
- Błąd w PHP-Fusion pomocy !!!!!
- Daczego nie dziala?? skrypt php nie chce działać!!!
- [PHP] - Sonda. Pomocy!!!
- [php] problem z wyświetlaniem mam problem z wyświetlaniem wyników
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- windykator.keep.pl
telcocafe
zastanawiam się jak bezpieczniej przechowywać hasła czy to w pliku czy w bazie, a konkretnie jakim sposobem je hashować. który sposób jest lepszy? md5(), crypt(), password() a może jeszcze co innego?baza , md5()
a może jeszcze co innego?
też użyłbym md5 ale zaintrygowała mnie długość hasha password(): ma więcej znaków niż md5.
Ja polecam sha1. Dlaczego? BEZPIECZNIEJSZY niz md5.
W 1996 roku Dobbertin zaprezentował analizę kolizji funkcji haszującej algorytmu MD5. Chociaż nie był to jeszcze pełny atak na funkcję haszującą to jednak wystarczył, aby specjaliści w dziedzinie kryptografii zaczęli stosować silniejsze odpowiedniki, takie jak SHA-1 lub RIPEMD-160.
Jednak sha1 ma rozwniez swoje slabe punkty.
btw. w miare dobrym rozwiazaniem jest zastosowanie "haszowanie", hasza, np:
md5(sha1("tekst"))
Użytkownik adex edytował ten post 16 marzec 2006, 15:23
Tak przy okazji chciałem się zapytć,
czy jest sens hashowania hasha?
Tak przy okazji chciałem się zapytć,
czy jest sens hashowania hasha?
Tak przy okazji chciałem się zapytć,
czy jest sens hashowania hasha?
IMHO nie ma, gdyż sam hash jest niemożliwy do odczytania w drugą stronę, więc po co szyfrować dwa razy.
brute forcem sie da :P
a po co wogole hashowac haslo?
jesli prowadze sam servis i tylko ja mam dostep do bazy :>
A jesli ktos uzyska nieautoryzowany dostep do bazy? I co? Bedzie mial hasla urzytkownikow na tacy...
Użytkownik adex edytował ten post 20 marzec 2006, 17:05
A jesli ktos uzyska nieautoryzowany dostep do bazy? I co? Bedzie mial hasla urzytkownikow na tacy...
nie chodzi tutaj o możliwość zmiany hasła jedynie o możliwość odczytania go.
Zazwyczaj ludzie używają jednego hasła do np kilku skrzynek pocztowych
kilku kont email używają też tych samych loginów.
Więc wyobraź sobie co się dzieje w momencie kiedy ktoś kopiuje twoją baze,
z twojej strony internetowej.
Twoja witryna automatycznie uzyskuje status : niebezpieczna i ilość użytkowników
drastycznie spada, ponadto musisz się jeszcze użerać z ludźmi którzy stosowali te same hasła do innych witryn na przykład z zakupami i potem dostali rachunki lub
jeśli rzeczony craker dzięki hasłom zdobytym w twojej bazie dostał się na skrzynki pocztowe i wysyłał spam/obraźliwe meile
Mając hasło do czyjejś skrzynki/witryn/etc.
można wyżadzić na prawde poważne szkody i każdy sposób żeby się przed tym uchronić jest dobry, a jako że komputery są co raz szybsze co raz krócej będzie trwało
crakowanie haseł metodą brude force więc podwójne haszowanie jest niegłupie :)
pzdr
ja ktos uzyska nieautoryzowany dostep do bazy do se wyda polecenie:
UPDATE userzy SET password='20e599a14e3999e5d0812511bb6ad4ef' WHERE user = 'admin';
i co mi da kodowanie hasla ?:>
Ee tam wystarczy że się znajdzie jakiś craker z inwencją twórcza,
a takich jak wiadomo w Polsce nie brakuje
Poza tym często zdarza się, że na serwerze bazodanowym każdy może się zalogować z dowolnym loginem i hasłem i mieć uprawnienia USAGE, które wystarczą do odczytania haseł.
Wystarczy SHA1+MD5.