[PHP]Hashowanie haseł - pytanie Opcje

[Loped]

Witam. Możecie mi powiedzieć czy taki sposób hashowania haseł jest poprawny i bezpieczny? Nie wiem czy jest to dobra metoda, ale wydaje mi się w pewien sposób bezpieczniejsza od użycia samego sha1(). (IMG:style_emoticons/default/wink.gif)

[PHP] pobierz, plaintext 
 
$char='ZsE$lOpQ(';
$example="hasło";
 
if(sha1($_POST['haslo'].$char)==sha1($example.$char)
{
echo'hasło poprawne';
}
else
{
echo"złe hasło";
}
 
[PHP] pobierz, plaintext 

Ten post edytował Loped 11.03.2012, 15:13:57

[Loped]

Mam zamiar zrobić dodatkowe pole i w nim przechowywać losową sól. Każdy użytkownik będzie miał swój unikalny kod. Myślę, że taki sposób będzie odpowiedni (IMG:style_emoticons/default/wink.gif) .

[mortus]

Mam zamiar zrobić dodatkowe pole i w nim przechowywać losową sól.

Soli nie przechowujesz/przesyłasz w formularzu rejestracji czy logowania, a np. w bazie danych. Natomiast tworzysz ją w momencie rejestrowania nowego konta.

PS: Tak naprawdę nikt poza administratorem bazy danych, czy też systemu nie powinien móc widzieć jak ta sól wygląda, a użytkownik nawet nie musi mieć świadomości tego, że jego hałso podlega soleniu.

Ten post edytował mortus 11.03.2012, 17:18:38

[Loped]

Soli nie przechowujesz/przesyłasz w formularzu rejestracji czy logowania, a np. w bazie danych. Natomiast tworzysz ją w momencie rejestrowania nowego konta.

PS: Tak naprawdę nikt poza administratorem bazy danych, czy też systemu nie powinien móc widzieć jak ta sól wygląda, a użytkownik nawet nie musi mieć świadomości tego, że jego hałso podlega soleniu.

Nie za bardzo rozumiem. W takim razie gdzie mam przechowywać tą sól, jak nie w bazie danych? (IMG:style_emoticons/default/wink.gif) W czasie rejestracji użytkownika algorytm wylosuje sól i następnie zapisze w bazie. Podczas logowania pobierze sól z bazy. Czy może idę złym tokiem myślenia?