Citat:
|
Ursprungligen postat av eliasson
Citat:
|
Ursprungligen postat av fabian
alla användare har nu en salt som är unik för användaren, lösenordet är md5(pass+salt), är detta vettigt?
|
Nej, för om dom kommer över databasen, så kommer dom även över salten.
Bygg dina lösenord på både användarnamn, lösenord och salt.
På så sett kan en md5-hash aldrig bli lika dan, eftersom användarnamnet är unikt.
Salten är dessutom statisk för samtliga användare, och är inget som sparas i databasen utan hårdkodad.
|
sant för om man har inte satt de på användarnamnet också så kan dom ju med hjälp av lösenordet se på ett ungefär vad hashen blir när de skrivit sitt lösen. och om man tillåter en bokstav i lösen så skapar dom ju bara några användare så har dom hash för varje bokstav :P
Jag är själv inte så duktig när det gäller detta område, men finns det ingen bra guide någonstans när det gäller att göra en super säker databas?
Om det fanns en sådan sida så hade ju alla använt den.
för hur många vet egentligen hur man gör en säker databas?
tydligen inte många.