[goober]

Jag är i planeringsstadiet med en databas där jag kommer spara diverse inloggningsuppgifter till andra siter som jag är medlem på. Detta kommer ju även innefatta de lösenord jag har till de andra siterna vilket leder oss till mitt problem.

Hur ska jag på bästa sätt spara känslig information i databasen? Jag kommer använda mig av MySQL 5.

Jag är inte intresserad av någon "envägskryptering" / hashning a la MD5 då jag måste kunna återskapa och använda den sparade informationen.

Tack på förhand
Mathias

[najk]

Spara fältet i databasen binärt och använd dig av php crypt.

[hnn]

MySQL funktionerna AES_ENCRYPT/AES_DECRYPT... Spara värdet i ett BLOB fält.

[SimonP]

Citat:

Originally posted by goober@Jul 20 2007, 14:19
Hur ska jag på bästa sätt spara känslig information i databasen? Jag kommer använda mig av MySQL 5.

I många fall räcker det med mySQL funktionerna AES_* som hnn skrev.
Skall man ha högsta säkerhet måste du lägga till SSL kommunikation eller att krypteringen sker helt på klientnivå, t.ex med Java/Javascript.

[Weaver]

Citat:

Originally posted by najk@Jul 20 2007, 15:53
Spara fältet i databasen binärt och använd dig av http://www.php.net/manual/en/function.crypt.php#76479.

Detta kommer inte att fungera. crypt är en one-way hash vilken inte kommer att fungera i detta fallet eftersom han måste kuna få tillbaka informationen

[goober]

Tack för tipsen. Jag ska läsa på lite mer om MySQL funktionerna. Men oavsett hur jag krypterar kommer ju min privata nyckel att synas i min källkod eftersom jag måste använda den när jag avkryterar informationen. Men det kanske är någonting man får leva med. Det är iallafall större säkerhet att spara det krypterat än att spara det som fritext i databasen. Eller har ni något smart tips på hur det går att lösa med?

[gsoc]

Får jag fråga varför en md5 med saltar inte skulle vara intressant, går alldeles utmärkt och återskapa ?

[goober]

En MD5 är bara en checksumma av ditt lösenord, även kallad "Envägskryptering" vilket är precis som det låter en "kryptering" åt ett håll, den går inte att återskapa. Du kan läsa mer om md5 på http://en.wikipedia.org/wiki/Md5

[Innocast]

Jag kör alltid MD5-hash:ar iaf... Enklast möjliga och rätt säkert också... krav på lösenorden däremot kan ju vara att föredra, t.ex. en stor bokstav eller en siffra eller något sånt... Så ere inte så enkelt att omvända... Rainbow finns ju alltid men orka... Man får se till att ha sin server säker

[gsoc]

Ah oj, förstod nu varför du inte vill köra en envägs...

http://es2.php.net/mcrypt kanske kan vara att rekommendera isf?
http://pear.php.net/reference/Crypt_...2_Rc4_php.html eller en rc4?
http://www.tonymarston.net/php-mysql/encryption.html denna skulle jag väll inte klassa som säker, men istället lätt att implentera...