Autor | Zpráva | ||
---|---|---|---|
text Profil * |
#1 · Zasláno: 17. 4. 2006, 15:16:45
lidi dokonalé zabezpečení? loginu? hesel?
md5 ? jsem otom něco četl ale nikde jsem neviděl script jak to protahnu z hesla tam a potom při výpisu potřebuju aby při porovnani při loginu se mi to protahlo na normal text jakse to dělá? jináč je dobré to md5? někde psali něco že jsou nějaké chyby vtom nebo něco :-D moc jsem to nepochopil pak se chcu zeptat seznam ted nahodil nějaké zabezpečení SSL jak to fičí? :-D coto vubec je? paru slovy diky . |
||
Peca Profil |
#2 · Zasláno: 17. 4. 2006, 15:32:21
md5 je hashovací funkce. Dáš md5($heslo) a vrátí to nějaký řetězec znaků. Když budeš chtět porovnat heslo při logování, tak ho prostě taky převedeš na ten řetězec a porovnáváš tyto řetězce. V žádném případě není možné z toho řetězce dostat zpět heslo. Taková funkce neexistuje.
|
||
WanTo Profil |
#3 · Zasláno: 17. 4. 2006, 15:36:23
V žádném případě není možné z toho řetězce dostat zpět heslo. Taková funkce neexistuje.
Ale existuje ;-) Kolize k MD5ce se dá najít během několika vteřin. |
||
zimmi Profil |
#4 · Zasláno: 17. 4. 2006, 15:51:36
Co vůbec znamená, že se dá najít kolize MD5?
|
||
WanTo Profil |
#5 · Zasláno: 17. 4. 2006, 15:57:55
zimmi
md5($heslo) == md5($kolize) $kolize a $heslo nemusí být stejné. |
||
zimmi Profil |
#6 · Zasláno: 17. 4. 2006, 15:59:48
No, tos mi to moc nevysvětlil, pořád nechápu o co se vlastně jedná a kde je ono potencionální nebezpečí (je-li nějaké).
|
||
WanTo Profil |
#7 · Zasláno: 17. 4. 2006, 16:13:07 · Upravil/a: WanTo
Když potřebuješ do databáze uložit nějaké heslo, je dobré ho zakódovat MD5kou. Kdyby se ti někdo do databáze naboural, nebude mít hesla, ale jen dlouhá hexadecimální čísla.
MD5 se nedá rozkódovat. Neexistuje zpětná funkce, z čehož vyplývá, že heslo nemůžeš nijak získat. Jak se dá ověřit správnost hesla? Zakóduje se to, které vyplníš v přihlašovacím formuláři a porovná se se zakódovaným heslem v databázi. To vypadá dost bezpečně. Kolize znamená, že je nalezen řetězec, jehož MD5 odpovídá MD5 hashi, který třeba ukradneš v nějaké databázi :-) Problém je v tom, že kolize, kterou najdeš nemusí být shodná s původním heslem. Ještě horší na tom je, že nalezená kolize je většinou jen pár nesmyslných bajtů, které ani nemusí být znaky. Toto jsem popsal kusem tím kódu: md5($heslo) == md5($kolize) $kolize a $heslo nemusí být stejné. Vrátím se k původnímu dotazu: mělo by stačit udělat "dvojitou" md5. Tj. md5(md5($heslo)). To už je celkem bezpečné. |
||
text Profil * |
#8 · Zasláno: 17. 4. 2006, 16:27:32
takže pokud chci vytáhnout to heslo to ho už nerozluštim? a jak to maj dělané když zapomeneš heslo tak ti někde třeba pošlou to heslo na email to jako to nemaj v md5 ?
|
||
WanTo Profil |
#9 · Zasláno: 17. 4. 2006, 16:30:56
text
Můžeš porovnat dva MD5 hashe. To většinou stačí. a jak to maj dělané když zapomeneš heslo tak ti někde třeba pošlou to heslo na email to jako to nemaj v md5 ? Napadají mě dvě možnosti: 1) Heslo nekódují MD5kou, ale nějakým algoritmem, pro který existuje i možnost rozkódování. 2) Vytáhnou heslo odněkud z logu. |
||
koudi Profil |
#10 · Zasláno: 17. 4. 2006, 16:35:28
A nebo sou prostě jenom pitomý a maj ho jako plain-text :)
|
||
a Profil * |
#11 · Zasláno: 17. 4. 2006, 16:35:43
a co kdybych to protáhl 3krát? md5? :-D bude to lepší? :-D
|
||
WanTo Profil |
#12 · Zasláno: 17. 4. 2006, 16:43:17
a
Čím víckrát, tím bezpečnější a pomalejší. |
||
ronan Profil |
#13 · Zasláno: 17. 4. 2006, 23:24:01
Je prakticky nemožné to heslo prolomit. Ani trochu se neboj MD5 použít.
|
||
Peca Profil |
#14 · Zasláno: 18. 4. 2006, 08:04:47
Kolize k MD5ce se dá najít během několika vteřin.
To by mě velice zajímalo jak? |
||
Anonymní Profil * |
#15 · Zasláno: 18. 4. 2006, 08:11:38
takže pokud chci vytáhnout to heslo to ho už nerozluštim? a jak to maj dělané když zapomeneš heslo tak ti někde třeba pošlou to heslo na email to jako to nemaj v md5 ?
Vygeneruje se náhodný řetězec, ten se uloží do datbáze ( v MD5 ) a odešle se uživateli. Ten se musí přihlásit tímto generovaným heslem a pak si ho může změnit podle libosti. |
||
error414- Profil * |
#16 · Zasláno: 18. 4. 2006, 13:40:23
WanTo
pls precti si poradne jaka kolize byla nalezena. K EXISTUJICI MD5 HASI NELZE ZATIM NALEZT RETEZEC SE STEJNOU HASI. Pokus se pletu pls link. http://www.root.cz/clanky/nalezani-kolizi-md5-hracka-pro-notebook/ |
||
WanTo Profil |
#17 · Zasláno: 18. 4. 2006, 14:39:09
|
||
Časová prodleva: 18 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0