![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 6.09.2010 Ostrzeżenie: (0%) ![]() ![]() |
Na wstepie przepraszam, jesli jakis podobny watek na ten temat istnieje - jednak przeszukalem forum i w ostatnich nie znalazlem.
Pytanie brzmi - jak dobrze zahashowac haslo? Od razu chce zaznaczyc, ze moja wiedza jest dosc amatorska. Dotychczas w przerobkach skryptow stosowalem podwojne hashowanie: Jednak w przypadku robienia sobie serwisu na ktorym spodziewam sie kilku tysiecy kont, chyba przydalyby sie lepsze zabezpieczenia... wymyslilem sobie zatem konstrukcje tego typu: Smiga, dziala, rejestruje sie, loguje... roznica pomiedzy tym samym haslem zakodowanym w sha1+md5 a pomiedzy haslem dodatkowo zakodowanym tez w base64 istnieje, zatem to kodowanie rzeczywiscie mi dziala. Ale watpliwosci mam duze: - czy potrojne kodowanie nie zuzywa przesadnie mocy obliczeniowej maszyny? hosting posiadam wykupiony, nie chcialbym, zeby admin dostal przeze mnie bialej goraczki gdy spojrzy na zuzycie procesorow (IMG:style_emoticons/default/smile.gif) - czy jest w ogole sens kodowac potrojnie haslo? Czy nie lepiej, abym uzyl jednego kodowania z moze samym base64? Czy to bedzie wystarczajace zabezpieczenie? Jaka jeszcze inna metode hashowania mozna polecic? Nie chce czegos przesadnie mocnego, ale cos jednak na miare dzisiejszych "standardow". |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 782 Pomógł: 153 Dołączył: 21.07.2010 Ostrzeżenie: (0%) ![]() ![]() |
Ee tam, Zyx przesadzasz z tą kolizją - przecież prawdopodobieństwo kolizji choćby dla sha1, powiększone o naszą liczbę iteracji jest i tak nikłe. Tutaj chodzi raczej o przypadek że ktoś ma naszą tablicę haszy i dowolną ilość czasu - wtedy dla ataku brute-force czas liczenia sum zaczyna być ważną cechą. I wątpię żeby spowolnienie miało praktyczny wydźwięk na większych serwerach - prawdopodobieństwo że odpowiednio duża liczba użytkowników zaloguje się w tym samym momencie jest raczej nikłe.
Żeby nie było - nie zakładam tak prymitywnego przykładu jak @Noidea (czyli bez soli i słabą funkcją). |
|
|
![]() ![]() |
![]() |
Aktualny czas: 14.10.2025 - 08:20 |