Полная Версия: хеширование
значит хеширую я пароли мд5+соль и тут натыкаюсь на статью что это уже не безопасно. погуглил и оказалась таких статей очень много. позвольте спросить у вас, как вы хеширпуете пароли дабы они были безопасны. и что вы вообще думаете об этом. (надеюсь меня не выставят опять дураком)
у меня в разработке динамичная соль, для каждого своя + постоянная в скрипте.
Что-то вроде:
И в довесок для большей паранои каждому пользователю при регистрации дается кофициент от которого зависит порядок добавления ингридиентов в $passhach :lol:
_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
Что-то вроде:
$usersalt = md5($capcha . $rdate);
$syssalt = md5('fj2dm38djkm8wek398dkdw3');
$passhash = sha1($usersalt . $password . $sysalt . $password);
И в довесок для большей паранои каждому пользователю при регистрации дается кофициент от которого зависит порядок добавления ингридиентов в $passhach :lol:
_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
| Цитата (МайНеймИзДолли @ 16.06.2014 - 09:12) |
| и что вы вообще думаете об этом. |
Уже сто раз это обсуждали, не стоит повторять в сто первый раз.
Поищите темы на 3-4 основных форумах, там всё разжёвано. Ничего нового Вам не скажут, увы.
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
В дополнение хочу добавить, мы хешируем пароли с целью обезопасить аккаунт если упрут данные из бд. динамическая соль хранится в этой же бд, получается что в принципе нет смысла солить динамически. только для функции "запомнить меня". но и тао не безопасно.
1 вариант) пароль+соль(динамика из бд) методом разных вариантов и числа итераций можно подобрать пароль
2 вариант) пароль+соль(скрипт)+соль(динамика из бд)
решение: через таблиц расшифровка и получение длинной строки соль из бд мы знаем, значит одно из 2х оставшихся пароль и соль. учитывая что соль статична ее можно вычислить методом сравнивания разных паролей и методов расшифровки.
т.о. вычислив алгоритм пароли ломаются. разница лишь во времени взлома и подбора. причем нынешние ресурсы слабоваты, а что будет через 5-10лет, причем если проект успешен и развивается, а паролей мы не знаем то безопасность паролей со временем только уменьшается.
1 вариант) пароль+соль(динамика из бд) методом разных вариантов и числа итераций можно подобрать пароль
2 вариант) пароль+соль(скрипт)+соль(динамика из бд)
решение: через таблиц расшифровка и получение длинной строки соль из бд мы знаем, значит одно из 2х оставшихся пароль и соль. учитывая что соль статична ее можно вычислить методом сравнивания разных паролей и методов расшифровки.
т.о. вычислив алгоритм пароли ломаются. разница лишь во времени взлома и подбора. причем нынешние ресурсы слабоваты, а что будет через 5-10лет, причем если проект успешен и развивается, а паролей мы не знаем то безопасность паролей со временем только уменьшается.
МайНеймИзДолли
ну паранои на всех хватит чем больше усложнять жизнь злоумышленнику тем лучше. В конце концов все ломается когда нибудь. Я считаю что чем больше динамических вариантов генерации пароля (не зависящих от БД включительно) тем педали крутить сложнее
_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
ну паранои на всех хватит
чем больше усложнять жизнь злоумышленнику тем лучше. В конце концов все ломается когда нибудь. Я считаю что чем больше динамических вариантов генерации пароля (не зависящих от БД включительно) тем педали крутить сложнее
_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
exotica
я согласен, но вопрос в надежности. хранить соль рядом с хешированым паролем, это то же самое что хранить ключик под ковриком но иметь злую собаку.рано или позно найдут способ обойти собаку а ключ уже есть. так и с солью. отсюда и сомнение.
я согласен, но вопрос в надежности. хранить соль рядом с хешированым паролем, это то же самое что хранить ключик под ковриком но иметь злую собаку.рано или позно найдут способ обойти собаку а ключ уже есть. так и с солью. отсюда и сомнение.
способы хранения пароля, один от другого не многим отличаются поэтому надо быть готовым к тому чтоб понести потери.
Но все же не отдавать же все на блюдичке обернутом в одно лишь md5
Пускай там будет 10 ковров 15 собак и всего один ключик который вообще будет в конуре лежать.
Даже при таком раскладе, тот кому нужно получить инфу - получит ее имея необходимые знания и опыт
_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
Но все же не отдавать же все на блюдичке обернутом в одно лишь md5
Пускай там будет 10 ковров 15 собак и всего один ключик который вообще будет в конуре лежать.
Даже при таком раскладе, тот кому нужно получить инфу - получит ее имея необходимые знания и опыт
_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
| Цитата |
| тот кому нужно получить инфу - получит ее имея необходимые знания и опыт |
в таком случае чем вообще может быть гарантирована безопасность сайта и имеет ли смысл что-либо затевать если все кривое, сервера падают не работают, свет гаснет, все злоумышленники умные, а у сторожа панос и он сидит в туалете а не на вахте.
я так понимаю, хешируй не хешируй, а если бз угнали то капец и ничего нам в этом не поможет.
бородатый анекдот: стоит человек на развилке, на указателе написано: налево пойдешь по морде получишь, на право пойдешь по морде получишь, прямо пойдешь по морде получишь. стоит мужик призадумался, и тут голос "ты мужик быстрее думай, а то прямо сейчас по морде получишь".
| Цитата |
Но все же не отдавать же все на блюдичке обернутом в одно лишь md5 |
кстате есть 2 мнения
1) чем больше стилей хеширования тем сложнее, чем больше соли тем лучше. если свой способ хеширования использовать. вообще непобедим.
2) да никакой разници нет. это просто онанизм, делаеться для морального подавления своей паранои.
| Цитата |
| да никакой разници нет. это просто онанизм, делаеться для морального подавления своей паранои. |
главное не запутаться самому, что и с чем ты перемешиваешь. А то беда будет)) но в идеале чем больше данных из разных источников замешано, при условии что все данные разные и компилируются в разных последовательностях то получить доступ становится муторным занятием.
А доступ к БД вообще сделать неизвестным даже самому себе, хоть ежечасно заставить генерировать хеш БД и заменять его в config и в mysql. а в подключении использовать константу SQL_HOUR_PASS
_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза
вот статья мне понравилась что вы скажите на этот счетреф
md5(md5(Все простенько));
_____________
Новичек в программировании и вообще не разбираюсь в этом, так что не вините.
Здесь расположена полная версия этой страницы.