sha1 och salt

AnOnYmUs · 2009-10-09, 14:25

Åter igen, tack för alla svar och tips

Nu funkar iallafall den biten.

Johan_S · 2009-10-09, 14:27

Citat:

Ursprungligen postat av AnOnYmUs

Du hade helt rätt, varchar(12) <- där hade vi ett stort problem

Perfekt, då kan man ta helg snart med hedern ibehåll.

tartareandesire · 2009-10-09, 17:01

Citat:

Ursprungligen postat av AnOnYmUs

Du hade helt rätt, varchar(12) <- där hade vi ett stort problem

Hehe, det blir lite mer av en utmaning att logga in då

Har själv råkat göra samma sak, ganska lätt hänt om man är lite för snabb i phpMyAdmin.

Som Simon säger så bör du helst lägga salt på bägge sidor och då gärna ett användarspecifikt sådant.

tartareandesire · 2009-10-09, 19:55

En sak till förresten, vid felsökning (då det inte handlar om rena syntaxfel) så är det ofta en bra idé att skriva ut strategiska värden. På så vis brukar det gå snabbt att hitta var felet ligger.

AnOnYmUs · 2009-10-10, 00:06

Citat:

Ursprungligen postat av tartareandesire

En sak till förresten, vid felsökning (då det inte handlar om rena syntaxfel) så är det ofta en bra idé att skriva ut strategiska värden. På så vis brukar det gå snabbt att hitta var felet ligger.

Jo men nu var det så att jag hade 0.1 kunskaper i php

Anledningen till att jag inte ens tittade på dbn var för att jag skrev om ett gammalt script, eller rättare sagt, ändrade i ett gammalt script. Därav kom jag inte ens på tanke på att det kunde ha med längden att göra

Data33 · 2009-10-10, 03:30

Citat:

Ursprungligen postat av SimonP

Lägg helst saltet sist eller på båda sidorna (ändå bättre) för att försvåra bruteforce-attacker. Exempel:
$pass_salted = sha1($salt.$pass.$salt);

Helst bör man inte köra med -bara- statiskt salt. Ett tips kan vara att salta med både ett statiskt salt, samt användar-id eller login eller något som är unikt för den raden. På så sätt kan flera användare ha samma lösenord utan att det går att se på hashen.

SimonP · 2009-10-10, 10:17

Citat:

Ursprungligen postat av Data33

Helst bör man inte köra med -bara- statiskt salt. Ett tips kan vara att salta med både ett statiskt salt, samt användar-id eller login eller något som är unikt för den raden. På så sätt kan flera användare ha samma lösenord utan att det går att se på hashen.

Jo jag är fullt medveten om det

jag glömde lägga in länkarna där vi tidigare pratat om detta ämne:
http://www.wn.se/t30777.html
http://www.wn.se/t27900.html

tartareandesire · 2009-10-10, 16:40

Citat:

Ursprungligen postat av Data33

Helst bör man inte köra med -bara- statiskt salt. Ett tips kan vara att salta med både ett statiskt salt, samt användar-id eller login eller något som är unikt för den raden. På så sätt kan flera användare ha samma lösenord utan att det går att se på hashen.

Exakt samma sak står ett par inlägg innan ditt

BjörnJ · 2009-10-12, 06:55

Citat:

Ursprungligen postat av Johan_S

//Ta emot formulärdata
$user = mysql_real_escape_string($_POST['username']);
$pass = mysql_real_escape_string(($_POST['pass']);

Det är onödigt att köra mysql_real_escape_string() på lösenordet eftersom det hashas och aldrig skickas i klartext till databasen.

Använd gärna trim() också (på både lösenord och annat).

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

sha1 och salt