FAQ |
Kalender |
2008-07-27, 23:18 | #1 | ||
|
|||
Supermoderator
|
När det gäller lösenordslagring så har det redan diskuterats en del på WN men jag kunde inte hitta något om lämplig längd att salta sin hashade sträng med? Nu vill jag inte tala om vilka längder jag själv använder eftersom det inte gynnar ändamålet så att säga.
__________________
Full-stack developer, free for smaller assignments |
||
Svara med citat |
2008-07-27, 23:30 | #2 | |||
|
||||
Nykomling
|
Jag tycker att osCommerce funktion att kryptera lösenord är bäst!
Citat:
|
|||
Svara med citat |
2008-07-27, 23:44 | #3 | ||
|
|||
Medlem
|
Det är ju åtminstone vänligt av osCommerce att lägga med saltet i databasen. Känns lite meningslöst att salta då.
|
||
Svara med citat |
2008-07-27, 23:47 | #4 | |||
|
||||
Mycket flitig postare
|
Citat:
Längden på saltet bör ligga på mer än 2 bytes, för att förhindra dom som sitter på regnbågstabeller där man även "inkluderat" salt, men samtidigt är det onödigt ha en större salt än hashalgoritmens egna styrka, i md5:s fall 16 bytes (32 st hex). |
|||
Svara med citat |
2008-07-27, 23:58 | #5 | ||
|
|||
Klarade millennium-buggen
|
Kod:
function generateHash($plainText, $salt = null) { if ($salt === null) $salt = substr(md5(uniqid(rand(), true)), 0, SALT_LENGTH); else $salt = substr($salt, 0, SALT_LENGTH); return $salt . sha1($salt . $plainText); } |
||
Svara med citat |
2008-07-28, 00:26 | #6 | |||
|
||||
Mycket flitig postare
|
Citat:
|
|||
Svara med citat |
2008-07-28, 10:49 | #7 | |||
|
||||
Mycket flitig postare
|
Citat:
-salt läggs på före lösenordet -funktionen rand() är dålig, mt_rand() rekommenderas för kryptofunktioner |
|||
Svara med citat |
2008-07-28, 11:37 | #8 | ||
|
|||
Medlem
|
Citat:
|
||
Svara med citat |
2008-07-28, 12:58 | #9 | |||
|
||||
Mycket flitig postare
|
Citat:
Att bruteforca antingen xxxxxxxxxxf3931e5339f5073b23188d1b357715a0 eller f3931e5339f5073b23188d1b357715a0xxxxxxxxxx bör väl kräva samma antal försök? Obs. är måndag idag så hjärnan är inte riktigt igång än |
|||
Svara med citat |
2008-07-28, 14:02 | #10 | ||
|
|||
Supermoderator
|
I den här artikeln från Php Security Consortium läggs också saltet i början av strängen [antar att Jonas exempel ovan är hämtat därifrån]. Tycker inte heller det borde göra någon skillnad?
__________________
Full-stack developer, free for smaller assignments |
||
Svara med citat |
Svara |
|
|