 [MySQL][PHP]Kodowanie haseł |
| [MySQL][PHP]Kodowanie haseł |
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 367 Pomógł: 17 Dołączył: 4.03.2008 Ostrzeżenie: (0%) 
 |
Cześc,
Proszę o pomoc w jednym temacie w którym jestem zielony. Po co przechowywać w bazie hasła w MD5 skoro jeśli nieproszony gość przechwyci takowe, i tak będzie mógł używając go dosłownie, zalogować się na konto danego usera. Jak najlepiej przechowywać hasła użytkowników w bazie. Przy użyciu jakiej funkcji (z własnym kluczem) je kodować. Dzięki Pozdrawiam Ten post edytował kosmos 27.10.2013, 22:12:08 |
 |
 
|
 |
|
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 352 Pomógł: 59 Dołączył: 16.01.2013 Ostrzeżenie: (0%)
|
MD5 ma to do siebie, że nie da się go rozszyfrować, a skrypty logujące userów porównują właśnie hashe MD5 a nie same hasła, tzn. że wpisanie hasha md5 w pole 'hasło' nic nie da
 A hasła w bazie polecam przechowywać w postaci hasha hasła i jakiejś randomowej soli |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 324 Pomógł: 27 Dołączył: 21.07.2013 Ostrzeżenie: (0%)
|
Jeśli ktoś wykradnie Ci hasło zakodowane w md5 i spróbuje się z niego zalogować to ono jeszcze raz zostanie przepuszczone przez md5 podczas porównywania hasła wpisanego tego z bazą i wyjdzie zupełnie inny ciąg znaków.
Md5 praktycznie jest nie do rozkodowania, trzeba by było porównywać ciągi znaków zakodowanych haseł z tym wykradzionym. Czyli trzeba znać nie zakodowane hasło  .
-------------------- ;)
|
|
|
|
|
Post
#4
|
|
 Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)
|
MD5 było nie do złamania. Jakieś 10 lat temu. Przy odrobinie chęci, obecnie to nie problem.
Obecnie radziłbym stosować Bcrypt albo sha515, koniecznie ze sporą ilością iteracji. -------------------- Google knows the answer...
|
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 367 Pomógł: 17 Dołączył: 4.03.2008 Ostrzeżenie: (0%)
|
Cytat(kujol @ 27.10.2013, 23:11:37 )  Jeśli ktoś wykradnie Ci hasło zakodowane w md5 i spróbuje się z niego zalogować to ono jeszcze raz zostanie przepuszczone przez md5 podczas porównywania hasła wpisanego tego z bazą i wyjdzie zupełnie inny ciąg znaków. Md5 praktycznie jest nie do rozkodowania, trzeba by było porównywać ciągi znaków zakodowanych haseł z tym wykradzionym. Czyli trzeba znać nie zakodowane hasło .Faktycznie! Ehh nie pomyślałem  Dzięki za wyjaśnienie. Właśnie tego było mi trzeba.
|
|
|
|
|
Post
#6
|
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)
|
Cytat(kosmos @ 28.10.2013, 10:00:45 ) Faktycznie! Ehh nie pomyślałem Dzięki za wyjaśnienie. Właśnie tego było mi trzeba.A ja powtórzę jeszcze raz, md5 obecnie nie jest żadnym zabezpieczeniem. W dodatku aż razi, że nikt nie wspomniał o soleniu hasła. Nawet w sieci możesz znaleźć słowniki md5, niektóre całkiem spore. -------------------- Google knows the answer...
|
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 367 Pomógł: 17 Dołączył: 4.03.2008 Ostrzeżenie: (0%)
|
Nikt tego nie neguje. Jak najbardziej masz rację. Chodziło mi o samą istotę całego procesu.
|
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)
|
W PHP 5.5 pojawiły się bardziej współczesne funkcje do obsługi haseł
http://www.php.net/password Warto z nich korzystać. -------------------- |
|
|
|
|
Post
#9
|
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)
|
Cytat(kosmos @ 28.10.2013, 15:19:42 ) Nikt tego nie neguje. Jak najbardziej masz rację. Chodziło mi o samą istotę całego procesu. Jasne, wolę tylko podkreślić, żeby czasem OP nie przyjął tego za prawdę objawioną. -------------------- Google knows the answer...
|
|
|
|
 |
|
Aktualny czas: 21.08.2025 - 11:10 |
