[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Пароль администратора
Форум PHP программистов > PHP общие вопросы
Страницы: 1, 2, 3
zvezda_t
11.06.2013 - 14:50
Всем привет!

Подскажите, пожалуйста, как лучше всего обеспечить безопасность входа администратора в систему? rolleyes.gif

Пароли обычных пользователей храняться в шифрованом виде в БД.
А пароль Админа - как дополнительно можно застраховать? smile.gif

_____________

Что ты сделал сегодня - для завтра?
"Приидите ко Мне вси труждающиеся и обремененнии и Аз упокою вы, возмите иго Мое на себе и научитеся от Мене яко кроток есмь и смирен сердцем и обрящете покой душам вашим, иго бо Мое благо и бремя Мое легко есть."(Мф. 11:28-30)
dron4ik
11.06.2013 - 15:20
не хранить в базе.

$pass = 'слово'.date('-d'); - пароль
$password = $_POST['pass']; - полученный с формы

if($pass == $password){
...
}


Если кто-то подсмотрит что ты вводишь "слово-11" - и на след день попробует зайти, у него ничего не выйдет)))

Ну или с базы
$pass = 'слово'.date('-d'); - пароль с базы + дата
$password = explode("-", $_POST['pass'])
if((md5($password[0]).'-'.$password[1]) == $pass){
...
}


суть в том, что пароль динамичен, а сегодняшняя дата всегда известна)
100% это не даст, но все же)))

Надеюсь был полезным)

_____________
Ex3m.com.ua — Активный образ жизни
glock18
11.06.2013 - 15:23
Цитата (dron4ik @ 11.06.2013 - 11:20)
не хранить в базе.

$pass = 'слово'.gate('-d'); - пароль
$password = $_POST['pass']; - полученный с формы

if($pass == $password){
...
}


Если кто-то подсмотрит что ты вводишь "слово-11" - и на след день попробует зайти, у него ничего не выйдет)))

Ну или с базы
$pass = 'слово'.gate('-d'); - пароль с базы + дата
$password = explode("-", $_POST['pass'])
if((md5($password[0]).$password[1]) == $pass){
...
}


суть в том, что пароль динамичен, а сегодняшняя дата всегда известна)
100% это не даст, но все же)))

Надеюсь был полезным)

Да, просто суперпродуманная защита dry.gif

особенно понравилось
Цитата
и на след день попробует зайти, у него ничего не выйдет)))
glock18
11.06.2013 - 15:25
И что за такая вообще функция gate с загадочным параметром '-d'. Какие-то десятичные ворота?
dron4ik
11.06.2013 - 15:27
date - опечатка!
________________

date('-d-H') - час!
date('-d-H-i') - как вариант...

Предложи свою!

_____________
Ex3m.com.ua — Активный образ жизни
glock18
11.06.2013 - 15:44
Цитата (dron4ik @ 11.06.2013 - 11:27)
date - опечатка!
________________

date('-d-H') - час!
date('-d-H-i') - как вариант...

Предложи свою!


чего сразу не секунды то, а то так, боюсь, геморроя с проверкой времени каждый раз перед авторизацией будет мало rolleyes.gif

Если серьезно, вы, правда, думаете, что хешированный пароль в базе менее безопасен, чем явно, хранящийся в коде? Конечно же нет.

PS: хотя, надо признать, идея с добавлением дня к паролю из базы может понравиться параноикам (без обид, в общем-то, в плане безопасности это порой не помешает). Но я все же не склонен к такому введению, поскольку на мой взгляд, оно совершенно не нужно, и тоже по большому счету добавит только необходимость каждый раз проверять перед авторизацией серверное время.
dron4ik
11.06.2013 - 15:54
glock18
Я тоже не имею склонности использовать такие варианты...
в файле можно хранить и хеш, и черт знает что и как закодированное...
Но вопрос был, я дал ответ который смог придумать...

_____________
Ex3m.com.ua — Активный образ жизни
kristall
11.06.2013 - 15:57
Еще, кстати, очень полезно для безопасности логин админа сделать какой-нибудь другой, а не 'admin'.

_____________
echo '<pre>',print_r($var, 1);die;

root@server# make love && war
glock18
11.06.2013 - 15:59
Цитата (dron4ik @ 11.06.2013 - 11:54)
Но вопрос был, я дал ответ который смог придумать...


Вот что правда, то правда, конечно, признаю. Все таки лучше, конечно, от базы и хеширования не отказываться. Если пароли пользователей надежно шифруются, то необходимости в отделении механизма хранения пароля администратора просто нет
Guest
11.06.2013 - 18:03
Цитата (zvezda_t @ 11.06.2013 - 14:50)
Подскажите, пожалуйста, как лучше всего обеспечить безопасность входа администратора в систему? 

Вход по сертификату.
glock18
11.06.2013 - 18:07
Цитата (Guest @ 11.06.2013 - 14:03)
Цитата (zvezda_t @ 11.06.2013 - 14:50)
Подскажите, пожалуйста, как лучше всего обеспечить безопасность входа администратора в систему? 

Вход по сертификату.

Вот это кстати очень дельное замечание.

Я как-то упускаю некоторые вещи, полагая, что "у всех они по умолчанию должны быть", но не учитываю, что "должны быть" не все равно, что "есть"
exotica
11.06.2013 - 18:12
Цитата (zvezda_t @ 11.06.2013 - 14:50)
Подскажите, пожалуйста, как лучше всего обеспечить безопасность входа администратора в систему?

Наверное ответ прост: А ни как.
Т.к сколько идей столько и решений, какое бы вы не придумали защитное условие, на него вскоре найдется метод решения.
Вариант с датой мне оочень понравился, могу добавить к нему такую интересную шутку.

Чтобы пользователь admin существовал только в то время в которое он нужен. Т.е. каждый раз выходя из панели, пользователь с правами админа удаляется.

А при создании пользователя вы соблюдаете какие либо динамические условия для полей "логин" и "пароль". Если эти условия выполнены, то созданный пользователь получает статус "admin" если же вы ошиблись то алгоритм меняется и так при каждом разе)

_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
glock18
11.06.2013 - 18:26
Цитата (exotica @ 11.06.2013 - 14:12)
А при создании пользователя вы соблюдаете какие либо динамические условия для полей "логин" и "пароль". Если эти условия выполнены, то созданный пользователь получает статус "admin" если же вы ошиблись то алгоритм меняется и так при каждом разе)


есть какой-то смысл вообще создавать этого пользователя? huh.gif
exotica
11.06.2013 - 18:31
Цитата
есть какой-то смысл вообще создавать этого пользователя?

Я тоже просто предложил идею. Скажим так динамичного администратора.
Главное чтоб было что защищать, а накрутить алгоритмов можно же гору, сами понимаете)

главное не перестараться и в ходе совершенствования не наделать еще больше уязвимостей)

_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
glock18
11.06.2013 - 18:38
Ну, вы идеи то предлагайте, но главное ведь действенность? smile.gif А то можно предложить еще, чтобы в разные дни недели надо было логиниться с разных юзер-агентов и ip-адресов, проверять наличие заголовка "imagod=yes" в запросе и страдать прочей ерундой

Единственное что всерьез можно порекомендовать - просто подключить ssl на сервере, и ограничить админку на работу по https. Все. После этого больше ничего не надо. Устроит все что уже есть для рядовых юзверей
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.