| Autor | Zpráva | ||
|---|---|---|---|
| snake.aas Profil |
#1 · Zasláno: 7. 1. 2012, 08:40:07
Jeden topic nedávno mě přivedl na myšlenku, a sice:
Jak moc se v aplikacích používá salt hesla? Případně jak to řeší které frameworky? Vím že frameworky si můžu vygooglit, ale spíš mě to zajímalo z vašeho pohledu. Jestli jsou různé techniky, nebo se to ustálilo na jedné, případně jestli se to někde vůbec nepoužívá, nebo si to musí hlídat programátor sám? Osobně používám dynamický salt (většinou mail+pass, nebo login+pass), statiskému se snažím vyhýbat, právě kvůli možnému průlomu databáze (sdílené servery, atp.), kde není na první pohled patrné, že mají dva uživatelé stejné heslo, a bez zdrojových kódů aplikace se to přece jen hůř hledá (resp. musí se zkoušet). Zajímaly by mě vaše názory a zkušenosti |
||
| Alphard Profil |
#2 · Zasláno: 9. 1. 2012, 14:24:46
V sandboxu Nette (tam to není vývojová verze, ale základ pro aplikaci) je předpřipravená metoda, která k tomu uživatele vede, je ale jen statická.
public function calculateHash($password)
{
return md5($password . str_repeat('*enter any random salt here*', 10));
}U toho vašeho pak ale nesmíte povolit změnu mailu nebo loginu (nebo chtít zároveň heslo), nebylo by lepší k tomu připojit třeba id záznamu v db? (A pak řešit problémy, že ho předem neznáte...) |
||
| srigi Profil |
#3 · Zasláno: 9. 1. 2012, 17:06:04 · Upravil/a: srigi
snake.aas:
Pockaj, ak solis pomocou login+pass, znamena to, ze heslo si musis niekde odlozit v plaintexte? |
||
| jenikkozak Profil |
#4 · Zasláno: 9. 1. 2012, 17:23:58
srigi:
„Pockaj, ak solis pomocou login+pass, znamena to, ze heslo si musis niekde odlozit v plaintexte?“ Když nepoužiješ salt a hashuješ pouze pass, znamená to, že heslo si musíš někde uložit v plaintextu? |
||
| snake.aas Profil |
#5 · Zasláno: 9. 1. 2012, 19:00:50
Alphard:
to je fakt, že pak není změna mailu možná. Login bych až tak neřešil, nenapadá mě rozumný důvod změny loginu... A chtít při změně heslo... nezdá se mi to jako špatný nápad. Je to malé plus k bezpečnosti, ale zase velké mínus co se týče otravnosti... |
||
| Nox Profil |
#6 · Zasláno: 9. 1. 2012, 19:09:48
snake.aas:
Ale je ... akorát se pak musí udělat nové heslo |
||
| snake.aas Profil |
#7 · Zasláno: 9. 1. 2012, 19:28:10
Nox:
„Ale je ... akorát se pak musí udělat nové heslo“ Teď nechápu k čemu se to vztahuje... Můžeš(te) to rozvést? |
||
| Nox Profil |
#8 · Zasláno: 9. 1. 2012, 19:43:05 · Upravil/a: Nox
snake.aas:
Podle mě se může použít mail/login jako salt... akorát se po změně jakéhokoli z údajů, který se tam použije, musí udělat nové heslo. Tím bude asi jasné, jak že používáš při vytváření hesla daný údaj, ale to asi nevadí .... zvlášť když to kombinuješ s nějakým statickým hashem (s různými spešl znaky třeba), pak by mu generování rainbow s mailem stejně nepasovalo |
||
|
Časová prodleva: 12 let
|
|||
0