 MD5 i sole |
  |
| MD5 i sole |
 3.02.2008, 14:09:58
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 5 Pomógł: 0 Dołączył: 13.01.2008 Ostrzeżenie: (0%) 
 |
Witam,
Mam nadzieje ze nie powtarzam tematu, szukałem ale nie mogłem znalezdz. Czy zapisanie hasla w bazie danych przy pomocy md5() i dodanie soli wystarczy zeby zabezpieczyc sie przed atakiem hackera? Czy dodanie soli do hasla i zapisanie tego w bazie wystarczy. Przeciez uzytkownik bedzie nadal podawal tylko swoje haslo bez soli, ktora bedzie zapisana na stronie w skrypcie. Teraz takie pytanie. Czy da sie to zlamac tablicami teczowymi. Widzialem kilka postow na ten temat ale zaden nie daje wyraznej odpowiedzi na to pytanie. Przeciez bedzie sprawdzane haslo a nie sol ktora bedzie dodawana w 2 miejscach przez skrypt, przy zapisywaniu i odczycie hasla z bazy. Jak sie zaezpieczyc przed tym? I teraz mam jeszcze jedno pytanko. Jaka dlugosc bedzie mial ciag po przeksztalceniu przez md5() czy tylko 32 i czy to tez dziala tak samo dla hasel ktore sa dluzsze. Oczywiscie to idiotyzm tworzyc haslo na wiecej niz 30 znakow. Z gory dziekuje. |
 |
 
|
|
3.02.2008, 14:16:45
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 611 Pomógł: 19 Dołączył: 28.02.2005 Skąd: Wrocław Ostrzeżenie: (0%)
|
daje to dodatkowe bezpieczenstwo z uwagi na fakt że dodatkowo modyfikujesz hasło dzięki salt który jest znany tylko osobą mającym fizyczny dostęp do kodu aplikacji. Wyobraź sobie sytuacje w której ktoś stosuje tablice tęczowe a nie znając salta jeszcze generuje pochodne tablic tęczowych dla dowolnej ilości kombinacji saltu. Trudnośc tego problemu zyskuje bardzo duzo na sile.
-------------------- |
|
|
|
|
3.02.2008, 14:23:23
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 5 Pomógł: 0 Dołączył: 13.01.2008 Ostrzeżenie: (0%)
|
Ok, czy wstawienie 3 mozliwych prob logowania co 10 miinut utrudni sprawe? Czy to nie ma znaczenia? I jaka dlugosc rekord potrzebny jest w bazie danych. md5 generuje 32 znaki tak + to co moja salt? I teraz pytanko na temat bardziej przebieglych hackerow. Czytalem gdzies przy okazji przegladania komentarzy do napisow do filmow ze istnieje oprogramowanie ktore potrafi sciagnac cale strony wraz z plikami. Czy to sie tyczy takze plikow php czy tylko to co widzi przegladarka, bez skryptow php? Sory za noobistyczne pytania ale z bezpieczenstwem to tak cienko u mnie. Spalo sie na wykladach
|
|
|
|
|
3.02.2008, 14:36:02
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 611 Pomógł: 19 Dołączył: 28.02.2005 Skąd: Wrocław Ostrzeżenie: (0%)
|
salt jest konkatenowany z hasłem i następnie hashowany przez algorytm md5 wynik funkcji skrótu nie zależy od długości wprowadzonego łańcucha
-------------------- |
|
|
|
|
3.02.2008, 18:03:24
Post
#5
|
|
 Grupa: Zarejestrowani Postów: 984 Pomógł: 41 Dołączył: 16.03.2002 Skąd: Płock Ostrzeżenie: (0%)
|
Obecnie md5 łatwo można odkodować więc nie wiem czy w ogóle korzystanie z tej metody będzie bezpieczne. Istnieją już nawet serwisy oferujące darmowe odkodowywanie.
-------------------- eh, co polska wódka to polska wódka
|
|
|
|
|
3.02.2008, 20:31:12
Post
#6
|
|
 Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
Cytat Mam nadzieje ze nie powtarzam tematu, szukałem ale nie mogłem znalezdz http://forum.php.pl/index.php?act=ST&f=1&t=44156 zamykam Cytat Obecnie md5 łatwo można odkodować Jasne, jak ktos uzywa hasla: "ala", to łatwo odkodowac zwyklym bruteforce. Jak admin nie uzyje soli, to tez latwo znaleźć haslo w tęczowej tablicy. Wszystko zalezy jak uzywasz i jak uzywa uzytkownik 
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 25.06.2025 - 05:56 |
