Autor Zpráva
pajon
Profil
Chcel by som sa vás spýtať na názory ohľadne "hashovania+cryptovania" hesla v DB, či to tak je možné a či sa to oplatí a hlavne aby sa nedalo prelomiť. ďakujem :)

Link na script: http://www.patrikstrba.eu/password.phps
DoubleThink
Profil *
Neviděl jsem, že by někdo používal AES na šifrování hashů. Jako obrana proti rainbow tables funguje stejně spolehlivě obyčejný salt.

šifrováni
šifrování hesla
Složitost hesla a jeho zjištění
dostatečně hashované heslo?
Aesir
Profil
[#1] pajon:

Mé názory:

1.) Hashovat už v PHP, abyste se vyhnul přenosu nehashovaného hesla v případě, že je databázový server dedikovaný.
2.) Hash algoritmus vybrat podle potřeby, dnes se považuje stále za dostatečný SHA-1.
3.) Určitě solit.
4.) Šifrovat přenos, tam kde je potřeba.
5.) Mít spolehlivého správce serveru :)
pajon
Profil
Server mám vlastný, teda prístup mám len ja. Takže mi na ňom beží jak PHP tak aj MySQL

Salt sa mi nepáči lebo musí byť uložený buď v DB alebo v PHP. Teda tomu by som sa radšej vyhol. Napadol ma tento spôsob, čo sa z hesla spraví hash a potom sa aj zacryptuje, a bez toho aby uživateľ zadal heslo tak sa ani k hashu nedostane, takže mi to príde viacej bezpečné, avšak neskúšal som to moc a preto som zvedavý na vaše názory , popr nájsť chybu , respektívne kde by bola slabina. To je všetko :)
Aesir
Profil
pajon:
Salt sa mi nepáči lebo musí byť uložený buď v DB alebo v PHP.
Mezi použitím kryptování nebo soli nevidím osobně rozdíl. Pokud se útočník dostane ke kódu, kde se to provádí, tak je jedno, jestli se dozví jak jste heslo zakryptoval nebo jakou sůl jste použil :)
Smysl soli je v tom abyste vyloučil dva stejné hashe pro dvě různé hesla a získal trochu času v případě útoku.
pajon
Profil
[#5] Aesir

Máš pravdu, som si neuvedomil ,že tam vlastne je to isté akurát pri mojom treba 2x hashovať a decryptovať a pri tvojom len hashovať :)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: