Такие хэширующие алгоритмы как MD5, SHA1 и SHA256 были спроектированы очень быстрыми и эффективными. При наличии современных технологий и оборудования, стало довольно просто выяснить результат этих алгоритмов методом "грубой силы" для определения оригинальных вводимых данных.
Из-за той скорости, с которой современные компьютеры могут "обратить" эти хэширующие алгоритмы, многие профессионалы компьютерной безопасности строго не рекомендуют использовать их для хэширования паролей.
Если популярные хэширующие функции не подходят, как же я тогда должен хэшировать свои пароли?
При хэшировании паролей существует два важных соображения: это стоимость вычисления и соль. Чем выше стоимость вычисления хэширующего алгоритма, тем больше времени требуется для взлома его вывода методом "грубой силы".
В поставке PHP существует две функции, которые осуществляют хэширование с помощью указанного алгоритма.
Первой такой функцией является crypt(), в которой встроена поддержка нескольких хэширующих алгоритмов. Использование этой функции гарантирует наличие выбранного вами алгоритма, т.к. PHP содержит встроенную реализацию каждого поддерживаемого алгоритма, в случае отсутствия данного алгоритма в вашей операционной системе.
Второй хэширующей функцией является hash(),которая поддерживает намного больше алгоритмов и их вариаций, чем crypt(), но не поддерживает некоторые алгоритмы, доступные в crypt(). Расширение Hash включено в поставку PHP, но может быть отключено при компиляции, поэтому его наличие не гарантируется, в отличие от функции crypt(), входящей в ядро PHP.
Рекомендуемым к использованию алгоритмом является Blowfish, так как он имеет намного более высокую стоимость вычисления, чем MD5 или SHA1, являясь в то же время масштабируемым.
Зачем изпользуем mb5? Объясните , недавно учу php и не совсем понимаю
Спустя 1 минута, 36 секунд (14.08.2012 - 14:39) Игорь_Vasinsky написал(а):
потому что это просто.
Спустя 3 минуты, 28 секунд (14.08.2012 - 14:43) sergeiss написал(а):
| Цитата (Gold @ 14.08.2012 - 16:38) |
| Из-за той скорости, с которой современные компьютеры могут "обратить" эти хэширующие алгоритмы, многие профессионалы компьютерной безопасности строго не рекомендуют использовать их для хэширования паролей. |
Пруф-линк, плз!!!
Ежели ты добавишь некоторую "соль" к паролю перед его хэшированием, то для декодирования могут потребоваться ресурсы супер-пупер компьютеров, к тому же занятых в течение очень длительного, неразумно длительного времени. А на простом компе вообще не реально будет декодировать.
Спустя 1 минута, 13 секунд (14.08.2012 - 14:44) Gold написал(а):
Игорь_Vasinsky Но на сколько я понял не безопасно. Зачем же тода делать хеш если пользы так сказать почти не какой?
Спустя 2 минуты, 30 секунд (14.08.2012 - 14:47) Gold написал(а):
sergeiss Ясно , спс . Стоит ли юзать мануал? смотрю видео курсы специалист
Спустя 4 минуты, 25 секунд (14.08.2012 - 14:51) Игорь_Vasinsky написал(а):
| Цитата |
| Ежели ты добавишь некоторую "соль" к паролю перед его хэшированием, то для декодирования могут потребоваться ресурсы супер-пупер компьютеров, к тому же занятых в течение очень длительного, неразумно длительного времени. А на простом компе вообще не реально будет декодировать. |
Спустя 34 секунды (14.08.2012 - 14:52) AlmazDelDiablo написал(а):
Видео-курсы... Попова?! *перекрестился*.
Спустя 2 минуты, 36 секунд (14.08.2012 - 14:54) Игорь_Vasinsky написал(а):
| Цитата |
| смотрю видео курсы специалист |
Спустя 7 секунд (14.08.2012 - 14:54) Gold написал(а):
AlmazDelDiablo нет не Попова
Спустя 55 секунд (14.08.2012 - 14:55) Gold написал(а):
Игорь_Vasinsky Так и не услышал ответа
Спустя 24 секунды (14.08.2012 - 14:56) AlmazDelDiablo написал(а):
В общем, вот вам, читайте: http://irbis-team.com/15/10
И забудьте про видео-курсы.
PS: md5() + соль вполне хватает.
И забудьте про видео-курсы.
PS: md5() + соль вполне хватает.
Спустя 2 минуты, 57 секунд (14.08.2012 - 14:59) Игорь_Vasinsky написал(а):
Gold
| Цитата |
| Игорь_Vasinsky Но на сколько я понял не безопасно. Зачем же тода делать хеш если пользы так сказать почти не какой? |
ВОТ
| Цитата |
| Ежели ты добавишь некоторую "соль" к паролю перед его хэшированием, то для декодирования могут потребоваться ресурсы супер-пупер компьютеров, к тому же занятых в течение очень длительного, неразумно длительного времени. А на простом компе вообще не реально будет декодировать. |
Спустя 11 минут, 20 секунд (14.08.2012 - 15:10) dron4ik написал(а):
md5("Слово".md5($pass));
Крути как хочешь, вариантов масса...
Крути как хочешь, вариантов масса...
Спустя 1 час, 34 минуты, 52 секунды (14.08.2012 - 16:45) johniek_comp написал(а):
md5(md5(md5(sha1("я пароль"."а я соль :)"))));
ну вот и все собственно :)
Спустя 5 минут, 14 секунд (14.08.2012 - 16:50) dron4ik написал(а):
| Цитата (johniek_comp @ 14.08.2012 - 14:45) |
md5(md5(md5(sha1("я пароль"."а я соль :)")))); ну вот и все собственно :) |
md5(md5(sha1(md5("я пароль")."а я соль
")));Или так)
Спустя 17 минут, 6 секунд (14.08.2012 - 17:07) inpost написал(а):
Специалист хорош, но вряд ли научишься смотря пиратку. Есть на то свои причины.
В мануале написано на php.net, или вы им не верите?! md5 нельзя в единичном варианте использовать. Лучше всего соль + совмещение. Варианты совмещений выше показали.
В мануале написано на php.net, или вы им не верите?!
md5 нельзя в единичном варианте использовать. Лучше всего соль + совмещение. Варианты совмещений выше показали. Спустя 6 часов, 21 минута, 51 секунда (14.08.2012 - 23:29) YVSIK написал(а):
| Цитата (AlmazDelDiablo @ 14.08.2012 - 16:56) |
| И забудьте про видео-курсы. |
причем НАВСЕГДА, со временем поймешь почему))
пройдя больше пяти уроков все смешается в один так и будешь сидеть не делом заниматься а выискивать где и что он ляпнул и что сказал и что сделал , так и будешь сидеть и лопатить эти поповские постоянные сдрати и досвидания
все смешается воедино в голове навсегда и не скоро от этого отмоещься
Спустя 4 минуты, 26 секунд (14.08.2012 - 23:33) inpost написал(а):
YVSIK
Тебе не нравятся мои курсы?!
Тебе не нравятся мои курсы?!
Спустя 1 час, 2 минуты, 59 секунд (15.08.2012 - 00:36) YVSIK написал(а):
inpost
да не)) ты тут не причем, у тебя живое общение идет, и ты слышиш человека и делаешь поправки, это совсем другое дело! а если человек начитал курс , или целую лекцию, и потом пЫтает ими всех и всяк!
крыша поехать может!
какраз на-оборот! отнюдь, когда слышишь и расказываешь то можно и понять что человеку надо и что понятно иа что нет и делаешь поправки на что надо усилить , и есть у кого что-то доспросить а не лопатить несколько уроков(как их там поповские или специалиста) что выловить , ДА ЧТО ОН ТАМ СКАЗАЛ
и что НЕДОСКАЗАЛ!
да не)) ты тут не причем, у тебя живое общение идет, и ты слышиш человека и делаешь поправки, это совсем другое дело! а если человек начитал курс , или целую лекцию, и потом пЫтает ими всех и всяк!
крыша поехать может!
какраз на-оборот! отнюдь, когда слышишь и расказываешь то можно и понять что человеку надо и что понятно иа что нет и делаешь поправки на что надо усилить , и есть у кого что-то доспросить а не лопатить несколько уроков(как их там поповские или специалиста) что выловить , ДА ЧТО ОН ТАМ СКАЗАЛ
и что НЕДОСКАЗАЛ!