[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: $salt есть ли смысл так сделать?
Форум PHP программистов > PHP для начинающих
exotica
11.05.2013 - 00:10
Почитал я значит про соль и возникла такая мысль:

<?php

$datenow = date("y.m.d");
$salt = sha1($datenow);
$userpass = sha1($userpass . $salt);

$tosql = "INSERT INTO users (userpass, datenow) VALUES ('".$userpass."', '".$datenow."')";	
	$complete = mysqli_query($coming, $tosql) or die ('Ошибка: '.mysqli_error($coming));

?>


Т.е. при регистрации берется сегодняшняя дата, и превращается в хеш, его добавляем к паролю и хешируем.

Соответственно, когда проверяем введенный пароль, достаем из sql'a дату последней смены(создания) пароля, снова превращаем ее в хэш и добавляем к паролю.

P.S. - специально оставил в запросе только два поля, так как остальные пока не имеет смысла выносить на общее обозрение. (не по теме будут)
P.S.2 - пытаюсь просто донести алгоритм действия, не пинать плз)
P.S.3 - очень понравилась статья twin'a по теме "Функция хэширования паролей" на http://irbis-school.com/blog/full/13 . Но копи-паст это как то не обучаемо. Но за мат.часть спасиб)


_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
alexbel2404
11.05.2013 - 00:32
Имеет место быть smile.gif
nugle
11.05.2013 - 10:17
exotica
Ну все, я знаю, как у тебя кидается соль)))
Но я считаю, что логичнее было бы сделать не по дате, а по имени, фамилии и т.п. параметрах сделать алгаритм, который бы вытаскивал определенные буквы из этих параметров и хешировал, сам алгоритм приводить не буду, но я сам так делаю)))
Почему другие параметры? потому что дату проще узнать, чем целый алгаритм)
exotica
11.05.2013 - 11:09
Каюсь соль не использую вообще, но пока работаю на локальной машине и этот вопрос только решаю)
Мне кажется можно хоть ИП туда затолкать )))) было бы надо)
Я просто разбираюсь в самом процессе, конечный алгоритм я конечно же оставлю при себе)
Про вытаскивание букв спасибо, о таком не подумал, приму на заметку)

_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
twin
11.05.2013 - 11:09
nugle
Цитата
логичнее было бы сделать не по дате, а по имени, фамилии и т.п. параметрах сделать алгаритм
Где логика? Ты не допускашь, что юзер может выйти замуж и сменить фамилию?

Любые данные могут быть изменены преднамеренно или случайно. И тогда будут проблемы.
А главное - для чего это?

Вы на кухне в чем храните соль? Лично я в солонке. И почему то не возникет мыслей хранить её в хлебнице, схарнице или кофемолке. А можно вообще насыпать в каждую кастрюльку и тарелку заранее, чего мелочиться.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
exotica
11.05.2013 - 15:06
Цитата
Где логика? Ты не допускашь, что юзер может выйти замуж и сменить фамилию?


Это одна из причин по которой я предложил более менее статичные данные, такие как Дата создания или смены этого пароля. Т.е. смена пароля пользователем повлечет за собой и смену хеша соли к нему.

Единственное над чем я в данный момент рассуждаю, дак это над тем как добавить теперь сюда смену алгоритма хеширования. Но так чтоб не запутаться совсем)

Не по теме: Соль которую собираюсь потребить храню в солонке, но запас соли всегда хранится в сухом месте smile.gif Главное знать когда посолить, а когда помешать ))

_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
HErATuB
11.05.2013 - 19:24
А не проще где ни будь в конфиге записать ключ хэша?
exotica
11.05.2013 - 19:30
Цитата
А не проще где ни будь в конфиге записать ключ хэша?

Проще конечно, но ключ хеша можно получить если попасть к корням сайта.Лично мне охота чтобы хеш получался из каких то данных, которых не прописанно изначально. Т.е. Чтобы строка этого ключа рождалась для каждого пароля своя )

_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
HErATuB
11.05.2013 - 19:38
Интересно как "корням сайта"? Если даже получат доступ к файлом то тем более получат доступ к базе.
exotica
11.05.2013 - 19:45
По причине собственной невнимательности само-собой. Оставив где-либо дыру.
Но если все таки будет получен доступ к базе, то пускай над ней подумают хоть. Не просто же так на блюдечке отдавать)) вот вам база, вот вам ключ - брутфорсите на здоровье. laugh.gif пусть хеши будут разные, хоть голову поломают)

_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
nugle
13.05.2013 - 22:34
twin
чет я тупанул, сам то не по имени и фамилии делаю. Смысл в том, что генерировать соль по константам, естественно не по имени и фамилии, если они конечно же не const
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.