| Autor | Zpráva | ||
|---|---|---|---|
| attendto Profil * |
#1 · Zasláno: 28. 8. 2010, 01:30:13
Dělám jednoduchou webovou php aplikaci pro změnu hesel uživatelů. Hesla jsou nejčastěji ve formátu $1$... (crypt-md5), $6$ ... (crypt-sha2(512)), md5 a blowfish. Některá jsou dokonce myslím i v nějakém DES formátu (zatím nevím jestli standardním nebo rozšířeném). Se všemi formáty je velice snadné v php pracovat. Trápí mě ale jedna věc: jaké znaky je potřeba kontrolovat když si uživatel bude měnit heslo? Rád bych povolil všechny znaky (kvůli rozmanitosti hesel), ale zase mám strach, aby nějaké speciální znaky nenarušily výsledný hash či dokonce nezpůsobily chybu v php skriptu.
|
||
| Petr ZZZ Profil |
#2 · Zasláno: 28. 8. 2010, 09:48:23 · Upravil/a: Petr ZZZ
AM_ píše, že heslo ze 20 znaků se bude při miliónu pokusů za vteřinu louskat devětmiliónkrát déle, než je stáří vesmíru. Kratší heslo půjde rozlousknout rychleji, ale i tak to vypadá, že na hesla lze vystačit s arabskými číslicemi a písmeny anglické abecedy.
Dodatek: Sice je nutno tu formulaci upřesnit, neb je rozdíl, jak dlouho se heslo může nejdéle louskat a jak dlouho se skutečně louskat bude, protože je malá pravděpodobnost, že správná kombinace přijde na řadu až jako poslední. I tak je ale zřejmé, že při vymýšlení hesel lze vystačit s arabskými číslicemi a se znaky bez diakritiky. |
||
| Joker Profil |
#3 · Zasláno: 28. 8. 2010, 09:53:45
attendto:
„mám strach, aby nějaké speciální znaky nenarušily výsledný hash či dokonce nezpůsobily chybu v php skriptu“ Nevím o tom, že by takové existovaly. Hash myslím ten vstup bere prostě jako data (bajty), takže tam může být cokoliv. |
||
| _es Profil |
#4 · Zasláno: 28. 8. 2010, 09:55:51
attendto:
„aby nějaké speciální znaky nenarušily výsledný hash či dokonce nezpůsobily chybu v php skriptu.“ Hash je niečo ako kontrolný súčet, takže "špeciálne" znaky len zmenia výsledok, nemôže sa výsledok nejako "narušiť", alebo nastať chyba v skripte. |
||
| tiso Profil |
#5 · Zasláno: 28. 8. 2010, 11:19:19
attendto: problém je len jeden - aby sa znaky z hesla v nezmenenej podobe nezávisle na konfigurácii (napríklad magic_quotes_gpc) dostali ako argument do hashovacej funkcie.
|
||
|
Časová prodleva: 14 let
|
|||
0