Autor Zpráva
HajekJirka
Profil
Dobrý den,
někde na internetu jsem našel tento kod
sha1(md5($_POST['heslo']))
.

Chápu jej dobře, že se jedná o "dvojté" šifrování hesla?
Je to dokonalejší způsob než např. zadávat pouze md5() či sha1()?
Jaký je Váš názor na takto napsanou funkci?
nightfish
Profil
Chápu jej dobře, že se jedná o "dvojté" šifrování hesla?
dvojité hashování, ne šifrování - šifrování je obousměrné (tzn. je možno jednoznačně dešifrovat na původní text), hash jednoznačně "dešifrovat" nejde
tato metoda, v případě, že se útočník dostane k databázi s hashi a nebude vědět, že jde o dvojitý hash, poskytne dobrou ochranu proti útoku
HajekJirka
Profil
Jo jasně! Vím, že to není to samé (hash a šifra).
Nicméně děkuji za info, že se jedná o dobrou ochranu proti útoku!
Anonymní
Profil *
http://php.vrana.cz/ukladani-hesel.php
HajekJirka
Profil
Anonymní
Díky za info.
DJ Miky
Profil
IMHO když se útočník dostane do DB, tak je jedno, jestli budou hesla hashovaná nebo ne...
HajekJirka
Profil
DJ Miky
Velice zajímavý postřeh.
Jenomže přece exitují i jiné věci, které je potřba HASHovat a ne jen hesla.

Teď čekám otázku a jaké například? A abych se přiznal, tak mě zrovna nic nenapadá ... ;-).
Timothy
Profil *
prosim vas.. v databaze mam ulozene heslo, ktore je sifrovane sh1... potom na stranke mam script ktory vypise veci z databaze, no aj to heslo mi vypise sifrovane..ako ho mozem de-siforvat? alebo ako docielim to aby sa uz zobrazovalo de-sifrovane?
k
Profil *
Pokud si sami spravujete svuj server(a nejste lamy) tak nemusite hashovat.
Kdyz uz se tam utocnik dostane tak mu pripadny hash nebude delat problemy.
Timothy
Profil *
no ale ja to musim de-sifrovat.. neexistuje nato nejaka funkcia??
Alphard
Profil
ako ho mozem de-siforvat?
jestli sh1 je sha1 tak nelze, viz nightfish
k
Profil *
jde ale ne tak jednoduse.
http://www.schneier.com/blog/archives/2005/02/sha1_broken.html
tiso
Profil
k nájdenie kolízie je jedna vec, dešifrovanie vec druhá...
Alphard
Profil
k
myslel jsem vzhledem k otázce, IMHO je hloupost, abych sám něco hashoval a pak to sám prolamoval :-)
nebo jsi jiného názoru? já bych použil obousměrné šifrování :-)
k
Profil *
tiso
Mas pravdu spatny odkaz (rychle cez google), kazdopadne sha-1 uz prolomeno bylo. Zkuste si to vygooglit.

Alphard
souhlas
Toto téma je uzamčeno. Odpověď nelze zaslat.