К примеру это конечно скрывает пароль от человеческого восприятия.
Но вопрос вот в чём!
Допустим злоумышленник приконектился к Базе, конечно же ОН не вмдит пароль,
но так как всегда есть система востановления пароля, разве то что в зашиврованном виде будет ЕМУ мешать изменить в базе емайл и выслать пароль на емайл злодея. !?
Так получаеться отсутствия смысла в шивровании или я ошибаюсь?
Спустя 13 минут, 2 секунды (20.03.2011 - 01:56) inpost написал(а):
sebastjan
Изменить е-маил можно введя ключевое слово, подтвердить через мобилку, или прийдет на старый е-маил письмо с подтверждением поменять. Не всё так просто =)
Е-маил часто выступает инициализацией пользователя, как ты не можешь поменять логин, так и уникальным должен быть почтовый ящик, собственно, его тоже не меняют.
Мне понравилась защита приват-банка! Там при каждой авторизации приходит СМС-ка с номером входа, которая действует 15 минут с момента прихода. То есть без мобилки вообще нельзя войти, но мобилка - идентификация личности! =)
Изменить е-маил можно введя ключевое слово, подтвердить через мобилку, или прийдет на старый е-маил письмо с подтверждением поменять. Не всё так просто =)
Е-маил часто выступает инициализацией пользователя, как ты не можешь поменять логин, так и уникальным должен быть почтовый ящик, собственно, его тоже не меняют.
Мне понравилась защита приват-банка! Там при каждой авторизации приходит СМС-ка с номером входа, которая действует 15 минут с момента прихода. То есть без мобилки вообще нельзя войти, но мобилка - идентификация личности! =)
Спустя 1 минута, 27 секунд (20.03.2011 - 01:58) kirik написал(а):
| Цитата (sebastjan @ 19.03.2011 - 17:43) |
| разве то что в зашиврованном виде будет ЕМУ мешать изменить в базе емайл и выслать пароль на емайл злодея. !? |
Не, не помешает.
| Цитата (sebastjan @ 19.03.2011 - 17:43) |
| Так получаеться отсутствия смысла в шивровании или я ошибаюсь? |
Смысл в том, что если каким-то образом БД попадёт в чужие руки - злоумышленники не смогут посмотреть пароли (естественно нужно хэшировать с солью). А так как юзеры в большинстве своем используют одинаковые пароли для всего (почта, платёжные системы..етк), то хэширование защитит хотябы от того, что воры не смогут воспользоваться паролями в своих ковайных целях.
Спустя 5 минут, 34 секунды (20.03.2011 - 02:03) inpost написал(а):
sebastjan
Расскажу юмор. Выставили сайт "оцените", даааавно это было, пол года назад, зарегистрировался под моим ником с моим паролем. Решил его поломать, извратиться как только можно... и когда прощупал такоё мягкое место, тут же остановился, а ведь в БД могут лежать без md5 пароли, а значит злоумышленник сможет попасть как минимум на мою почту (платных системах - другой пароль), перепугался, так и остался сайт жить =)
Вообщем, конфиденциальность и безопасность данных должен поддерживать сам сайт, так как со стороны пользователя ничего нельзя сделать, нужно, как говорит Кирик, пароли шифровать, чтобы сам владелец не захотел ввести эти же пароли от yandex.деньги, и не украл миллионы, как это бывает.
Расскажу юмор. Выставили сайт "оцените", даааавно это было, пол года назад, зарегистрировался под моим ником с моим паролем. Решил его поломать, извратиться как только можно... и когда прощупал такоё мягкое место, тут же остановился, а ведь в БД могут лежать без md5 пароли, а значит злоумышленник сможет попасть как минимум на мою почту (платных системах - другой пароль), перепугался, так и остался сайт жить =)
Вообщем, конфиденциальность и безопасность данных должен поддерживать сам сайт, так как со стороны пользователя ничего нельзя сделать, нужно, как говорит Кирик, пароли шифровать, чтобы сам владелец не захотел ввести эти же пароли от yandex.деньги, и не украл миллионы, как это бывает.
Спустя 1 час, 9 минут, 50 секунд (20.03.2011 - 03:13) sebastjan написал(а):
| Цитата (kirik @ 19.03.2011 - 22:58) | ||||
Не, не помешает.
Смысл в том, что если каким-то образом БД попадёт в чужие руки - злоумышленники не смогут посмотреть пароли (естественно нужно хэшировать с солью). А так как юзеры в большинстве своем используют одинаковые пароли для всего (почта, платёжные системы..етк), то хэширование защитит хотябы от того, что воры не смогут воспользоваться паролями в своих ковайных целях. |
Что то я вас не пойму, если не трудно поясните.
Зачем смотреть в хешированном виде, конечно это никому не нужно, я думаю проще,
- поменяй мыло и запроси пароль, вот и придёт на мыло пароль юзера.
Я имелл ввиду если злоумышленник влез в Базу, в таблице юзера он конечно не видит пароль ,но как правило там видна другая инфа, типа майл и т.д.
Злоумышленник если в Базе ,так он может поменять майл пользователя на свой ,
,потом запрос на востановление по майлу,вот и всё.
Что я не так понимаю?
Спустя 10 минут, 39 секунд (20.03.2011 - 03:24) sebastjan написал(а):
Наверное защита Базы первичней чем хеширование!?
Хотя как ни защищай, если хозяин Сайта и Базы Плуг, никакое хеширование не поможет.
Я к тому что на днях столкнуля с таким случаем, владельцы небольшого магазина умудрились так распечатать свой магазин, что просто без логина и пароля данные стали доступны всему свету.
Просто человеческий фактор, к компу лез кто хотел.
Хотя как ни защищай, если хозяин Сайта и Базы Плуг, никакое хеширование не поможет.
Я к тому что на днях столкнуля с таким случаем, владельцы небольшого магазина умудрились так распечатать свой магазин, что просто без логина и пароля данные стали доступны всему свету.
Просто человеческий фактор, к компу лез кто хотел.
Спустя 10 минут, 10 секунд (20.03.2011 - 03:34) sebastjan написал(а):
| Цитата (inpost @ 19.03.2011 - 23:03) |
| sebastjan ё мягкое место, тут же остановился, а ведь в БД могут лежать без md5 пароли, а значит злоумышленник сможет попасть как минимум на мою почту (платных системах - другой пароль), перепугался, так и остался сайт жить =) |
Я честно говоря из всех своих знакомых,включая жену
не знаю не одного человека чтоб вводил где то одинаковые пороли от почты и к примеру вконтакте.А это всё не от того что все так блюдут безопастность а потому что просто не в силах запомнить
свой пароль к одному ресурсу.
Таких гениев мало, чтоб к примеру пароль из 5 символов клепать везде и на мыло и на форум и в однокласники.
А вообще я завёл эту тему ещё и по другому вопроссу, это касательно когда юзер просто забыл свой пароль а региться ему трудновато из за умственного развития(прошу не смеяться)
-так вот такие юзеры часто звонят по телефону и просят с регистрацией иил с каким либо заказом.
Владелец ни чего не теряет, просто сверяет его данные какие он наговаривает на по телефону и помогает или сделать заказ или говорит пароль.
Если пароль в хешированном виде -- то это уже не прокатит.
Спустя 6 минут, 32 секунды (20.03.2011 - 03:41) inpost написал(а):
sebastjan
Почему не прокатит? Авторизироваться можно из админки обходя вообще процес ввода имени и пароля. Видимо об этом ты не подумал.
Защищать надо не сайт, а данные, то есть конфиденциальная информация человека, иначе потом проблемы будут.
Я зарегистрирован на 50 или 60 сайтах, как ты думаешь, у меня на каждый свой уникальный пароль типа AUEAO2842jOWRjjwaA ? Нет, большая часть один и тот же лишь потому, что я везде его использую, и постоянно приходится посещать эти сайты. На листике хранить пароли опасно, их своруют, на компе тоже, черви воруют пароли с харда, ничего сложного нет сделать поиск по компу среди файлов doc,txt,rtf в ключевыми словами web-money, и потом найденные файлы скинуть злоумышленнику. Так вот, вопрос становится ребром, где хранить все пароли. Самое безопасное - это голова, поэтому несколько паролей запомнить можно, все 50 или 60 - нет.
Почему не прокатит? Авторизироваться можно из админки обходя вообще процес ввода имени и пароля. Видимо об этом ты не подумал.
Защищать надо не сайт, а данные, то есть конфиденциальная информация человека, иначе потом проблемы будут.
Я зарегистрирован на 50 или 60 сайтах, как ты думаешь, у меня на каждый свой уникальный пароль типа AUEAO2842jOWRjjwaA ? Нет, большая часть один и тот же лишь потому, что я везде его использую, и постоянно приходится посещать эти сайты. На листике хранить пароли опасно, их своруют, на компе тоже, черви воруют пароли с харда, ничего сложного нет сделать поиск по компу среди файлов doc,txt,rtf в ключевыми словами web-money, и потом найденные файлы скинуть злоумышленнику. Так вот, вопрос становится ребром, где хранить все пароли. Самое безопасное - это голова, поэтому несколько паролей запомнить можно, все 50 или 60 - нет.
Спустя 10 минут, 59 секунд (20.03.2011 - 03:52) sebastjan написал(а):
| Цитата (inpost @ 20.03.2011 - 00:41) |
| sebastjan Почему не прокатит? Авторизироваться можно из админки обходя вообще процес ввода имени и пароля. Видимо об этом ты не подумал. |
Вот тут то и есть сама *соль* я говорил на практике есть и не мало юзеров звонящих по телефону , задача владельца магазина как можно больше продать и личные данные типа адресс и тому подобное совсем не важно, товар высылаеться в любом случае только после оплаты.
По уму то конечно что стоит набрать свой майл и потом получить на него пароль, но я повторяю многи свой майл просто не в силах запомнить, и не к смеху будет сказанно что это всё в европе.
Человек звонит говорит что так и так я ваш клиент, уже многое заказывал у вас, но к сожалению не помню ни майл ни пароль, хозяйка смотрит в базу и сверяет ,действительно такой есть, и так как ему к примеру положена некая скидка в процентак, потому такие люди и хотят востановить свой пароль по телефону.
А что толку от хеширования если такой покупатель всё одно через месяц опять будет звонить и просить о помощи.
Уговаривать его по новой зарегиться - так это значит потерять клиента.
Спустя 2 минуты, 57 секунд (20.03.2011 - 03:54) inpost написал(а):
sebastjan
я одно, ты другое =) Никто не против общения по телефону, единственное пароли пользователей надо держать в md5.
я одно, ты другое =) Никто не против общения по телефону, единственное пароли пользователей надо держать в md5.
Спустя 4 минуты, 38 секунд (20.03.2011 - 03:59) sebastjan написал(а):
| Цитата (inpost @ 20.03.2011 - 00:54) |
| sebastjan я одно, ты другое =) Никто не против общения по телефону, единственное пароли пользователей надо держать в md5. |
Да я сам не против держать пароль в базе хеши, наверное через админку надо выводить пароль из базы для того чтоб админ мог его увидеть я как то не понял ваших слов сначала про админку а в базе всё в хешированном виде да и ещё запрет на изменение майла неплохо было бы.
Спустя 1 минута, 10 секунд (20.03.2011 - 04:00) sebastjan написал(а):
Спасибо за обсуждение, сейчас стало более понятно.
Спустя 52 минуты, 57 секунд (20.03.2011 - 04:53) kirik написал(а):
| Цитата (sebastjan @ 19.03.2011 - 19:13) |
| поменяй мыло и запроси пароль, вот и придёт на мыло пароль юзера. |
На мыло пароль никогда не должен приходить тот же. Нужно генерить новую строчку. Да и если пароль хэшированный, ты физически не сможешь его выслать на мыло.
| Цитата (sebastjan @ 19.03.2011 - 19:59) |
| наверное через админку надо выводить пароль из базы для того чтоб админ мог его увидеть |
Нафига одмину пароль юзера? Если нужно залогинится этим юзером, есть масса других способов.
Спустя 9 дней, 6 часов, 6 минут, 4 секунды (29.03.2011 - 09:59) Эли4ка написал(а):
ребята а можно шифровать пароль юзера несколько раз, например md5(md5(md5))
Спустя 4 минуты, 9 секунд (29.03.2011 - 10:03) kirik написал(а):
| Цитата (Эли4ка @ 29.03.2011 - 01:59) |
| ребята а можно шифровать пароль юзера несколько раз, например md5(md5(md5)) |
Можно, но лучше (и проще) зашифровать его "с солью":
$password = 'тут пароль';
$salt = 'какая-то просто строка..';
$pass_hash = md5($salt . $password);