| Autor | Zpráva | ||
|---|---|---|---|
| pajon Profil |
#1 · Zasláno: 28. 11. 2009, 14:16:39 · Upravil/a: pajon
Chcel by som sa vás spýtať na názory ohľadne "hashovania+cryptovania" hesla v DB, či to tak je možné a či sa to oplatí a hlavne aby sa nedalo prelomiť. ďakujem :)
Link na script: http://www.patrikstrba.eu/password.phps |
||
| DoubleThink Profil * |
#2 · Zasláno: 28. 11. 2009, 14:31:21
Neviděl jsem, že by někdo používal AES na šifrování hashů. Jako obrana proti rainbow tables funguje stejně spolehlivě obyčejný salt.
• šifrováni • šifrování hesla • Složitost hesla a jeho zjištění • dostatečně hashované heslo? |
||
| Aesir Profil |
#3 · Zasláno: 28. 11. 2009, 14:32:09
[#1] pajon:
Mé názory: 1.) Hashovat už v PHP, abyste se vyhnul přenosu nehashovaného hesla v případě, že je databázový server dedikovaný. 2.) Hash algoritmus vybrat podle potřeby, dnes se považuje stále za dostatečný SHA-1. 3.) Určitě solit. 4.) Šifrovat přenos, tam kde je potřeba. 5.) Mít spolehlivého správce serveru :) |
||
| pajon Profil |
#4 · Zasláno: 28. 11. 2009, 14:41:27
Server mám vlastný, teda prístup mám len ja. Takže mi na ňom beží jak PHP tak aj MySQL
Salt sa mi nepáči lebo musí byť uložený buď v DB alebo v PHP. Teda tomu by som sa radšej vyhol. Napadol ma tento spôsob, čo sa z hesla spraví hash a potom sa aj zacryptuje, a bez toho aby uživateľ zadal heslo tak sa ani k hashu nedostane, takže mi to príde viacej bezpečné, avšak neskúšal som to moc a preto som zvedavý na vaše názory , popr nájsť chybu , respektívne kde by bola slabina. To je všetko :) |
||
| Aesir Profil |
#5 · Zasláno: 28. 11. 2009, 14:54:10
pajon:
„Salt sa mi nepáči lebo musí byť uložený buď v DB alebo v PHP.“ Mezi použitím kryptování nebo soli nevidím osobně rozdíl. Pokud se útočník dostane ke kódu, kde se to provádí, tak je jedno, jestli se dozví jak jste heslo zakryptoval nebo jakou sůl jste použil :) Smysl soli je v tom abyste vyloučil dva stejné hashe pro dvě různé hesla a získal trochu času v případě útoku. |
||
| pajon Profil |
#6 · Zasláno: 28. 11. 2009, 15:15:04
[#5] Aesir
Máš pravdu, som si neuvedomil ,že tam vlastne je to isté akurát pri mojom treba 2x hashovať a decryptovať a pri tvojom len hashovať :) |
||
|
Časová prodleva: 14 let
|
|||
0