![]() |
![]() |
![]() ![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 1 012 Pomógł: 109 Dołączył: 26.09.2003 Skąd: nexis.pl Ostrzeżenie: (0%) ![]() ![]() |
Zwykle, dla bezpieczeństwa, trzymamy w bazie danych skrót hasła, utworzony za pomocą md5() bądź sha1(). Z myślą o tęczowych tablicach dopisujemy zwykle dodatkowo tzw. sól, która jest trzymana poza bazą danych, zwykle na serwerze.
Chciałbym jednak zwiększyć bezpieczeństwo również po stronie użytkownika i zastosować mechanizm znany z banków internetowych, czyli odpytywanie użytkownika o wybrane znaki hasła. Aby zastosować taki mechanizm jestem jednak zmuszony zapamiętać każdy znak hasła osobno. Powiedzmy, że w tym celu narzucę maksymalną długość hasła na 16 znaków i stworzę w tabeli bazy danych 16 dodatkowych pól (po 1 dla każdego znaku). Jak ma się jednak w/w sposób do tej sytuacji? Sam skrót to praktycznie żadne zabezpieczenie. Zastosowanie soli już bardziej, ale jest to wciąż bardzo słaby mechanizm. Co zrobić? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 1 012 Pomógł: 109 Dołączył: 26.09.2003 Skąd: nexis.pl Ostrzeżenie: (0%) ![]() ![]() |
Wciąż nie widzę w czym zaprezentowana przez ciebie metoda przewyższa bezpieczeństwo przy użyciu indywidualnych soli dla każdego użytkownika i każdego znaku hasła, czyli np. dla hasła abcd1234 pamiętamy:
sha1(sól_główna + sól1 + a) sha1(sól_główna + sól2 + b) sha1(sól_główna + sól3 + c) sha1(sól_główna + sól4 + d) sha1(sól_główna + sól5 + 1) sha1(sól_główna + sól6 + 2) sha1(sól_główna + sól7 + 3) sha1(sól_główna + sól8 + 4) Ten post edytował nexis 4.09.2009, 12:41:06 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 7.10.2025 - 16:15 |