Только не нужно упывать на ISO, ГОСТ и все остальное, в нашем мире нет никаких гарантий ни на что, единственный(ая) кто дает 100% гарантию так это - Смерть 
Полная Версия: "Оригинальный" вопрос про соль.
Да меня и так везде уже забанили и на форумах по безопасности тоже. Я был бы не прочь услышать доводы по поводу того, почему комбинировать разные алгоритмы это не кошерно и всех еретиков нужно банить Только не нужно упывать на ISO, ГОСТ и все остальное, в нашем мире нет никаких гарантий ни на что, единственный(ая) кто дает 100% гарантию так это - Смерть
Только не нужно упывать на ISO, ГОСТ и все остальное, в нашем мире нет никаких гарантий ни на что, единственный(ая) кто дает 100% гарантию так это - Смерть
I++
использую 2+ алгоритма, один из них будет сложнее для вычисления чем другие. Зачем использовать алгоритмы которые заведомо проще?
_____________
VPS от 5$, первые 2 месяца - бесплатно.
использую 2+ алгоритма, один из них будет сложнее для вычисления чем другие. Зачем использовать алгоритмы которые заведомо проще?
_____________
VPS от 5$, первые 2 месяца - бесплатно.
Когда на проекте 10 посителей вася и его друзья, то шифровать можно как угодно и сколь угодно просто как и сколь угодно сложно.
А вот когда у вас скажем хотя бы 100 пользователей одновременно нажмет кнопку зарегистрироваться, а у вас там супер-пупер крутой и сложный, требующий уйму машинного времени, алгоритм хеширования, и ваш серв целиком начнет подтормаживать - тогда и задумаетесь и про сложность подбора, и комбинирование алгоритмов и че там еще выше было предложено. Вся суть в балансе:)
_____________
"Нужно быть готовым прислушиваться к тем, кто может тебя чему-нибудь научить. Иначе ты никогда не вырастешь."
Откровенно я никому ниразу не нагрубил. А дать подзатыльник зарвавшемуся юнцу, так это и ему на пользу, и мне в удовольствие. © AllesKlar
А вот когда у вас скажем хотя бы 100 пользователей одновременно нажмет кнопку зарегистрироваться, а у вас там супер-пупер крутой и сложный, требующий уйму машинного времени, алгоритм хеширования, и ваш серв целиком начнет подтормаживать - тогда и задумаетесь и про сложность подбора, и комбинирование алгоритмов и че там еще выше было предложено. Вся суть в балансе:)
_____________
"Нужно быть готовым прислушиваться к тем, кто может тебя чему-нибудь научить. Иначе ты никогда не вырастешь."
Откровенно я никому ниразу не нагрубил. А дать подзатыльник зарвавшемуся юнцу, так это и ему на пользу, и мне в удовольствие. © AllesKlar
I++
Тебя банят, потому что за тобой не успевают
Я тоже придерживаюсь идеи двух разных алгоритмов. Просто выбирать хорошие и всё
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Тебя банят, потому что за тобой не успевают
Я тоже придерживаюсь идеи двух разных алгоритмов. Просто выбирать хорошие и всё
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
vital верную мысль говорит
| Цитата |
| Вся суть в балансе:) |
Верно, но практика утечек на крупных проектах иногда проскальзывает.
inpost, выбирать хорошие... Как сказал vital, на проекте с васей можно вообще просто все в md5() прогонять и пофигу, если юный хакер петя сворует хеши от васиной админки, особо ничего не произойдет.
| Цитата |
| Я тоже придерживаюсь идеи двух разных алгоритмов. |
Так я о том речь и веду, что нужно комбинировать алгоритмы, а не гонять только md5 с солью даже.
I++
"Хозяин - барин, что хотит то и воротит" (с) народная мудрость
Удачи Вам в Ваших изысканиях.
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
"Хозяин - барин, что хотит то и воротит" (с) народная мудрость
Удачи Вам в Ваших изысканиях.
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
При регистрации пользователей, создать для каждого свою соль и записывать в бд.
Ну а потом шифровать по такой схеме.
Зачем еще что-то выдумывать?
Ну а потом шифровать по такой схеме.
# Шифрование паролей перед записью в БД
function keyPin($pin)
{
global $User;
return md5(sha1($User->salt . $pin) . md5($User->salt . $pin));
}
Зачем еще что-то выдумывать?
| Цитата (S.Chushkin @ 5.12.2014 - 14:04) |
| Нескончаем поток изобретателей велосипедов |
в случае утечки, взлом стандартных хешей от crypt, это только вопрос времени и машинных ресурсов, вскрыть же хеш нестандартного алгоритма задача почти невыполнимая.
PS если нет доступа к исходникам разумеется.
| Цитата (killer8080 @ 5.12.2014 - 16:05) |
| вскрыть же хеш нестандартного алгоритма задача почти невыполнимая ... PS если нет доступа к исходникам разумеется. |
миллион первый раз: простой MD5 тоже не дешефруем за приемлемое время
см. http://phpforum.su/index.php?showtopic=0&v...dpost&p=2977229
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
| Цитата (S.Chushkin @ 5.12.2014 - 15:16) |
| миллион первый раз: простой MD5 тоже не дешефруем за приемлемое время |
для брутфорса, но не для атаки по словарю, конечно всё будет зависеть ещё и от размеров словаря
S.Chushkin
на него есть овер 100500 таблиц уже. Так-что он не актуален
на него есть овер 100500 таблиц уже. Так-что он не актуален
| Цитата (killer8080 @ 5.12.2014 - 16:26) |
| для брутфорса, но не для атаки по словарю, конечно всё будет зависеть ещё и от размеров словаря |
| Цитата (Zzepish @ 5.12.2014 - 16:32) |
| S.Chushkin на него есть овер 100500 таблиц уже. Так-что он не актуален |
function ip($ip){
$ip_list=explode('.',$ip);
for($i=0;$i<count($ip_list);$i++)
$ip_list[$i]=hash('sha512',($ip_list[$i]+1>>strlen((int)$ip_list[$i])>>strlen((int)$ip_list[$i])-1));
return hash('sha512',implode('.',$ip_list));
}
Простенько и со вкусом) но тут хеширование ip
Здесь расположена полная версия этой страницы.