FAQ |
Kalender |
2008-03-12, 21:59 | #1 | |||
|
||||
Flitig postare
|
Under dem veckor som gått så verkar det låta som att dem flesta i WN rekommenderar sha1+salt för inloggningssystem.
Vissa pratar om lite mer avancerade tillägg och kombinationer vilket jag inte greppar för att kunna bygga själv. Det här är den nivå jag klarar av, räcker det eller är jag körd om jag använder den i mitt inloggningssystem? http://www.phpit.net/article/handling-pass...rds-safely-php/ Jag pratade med folk utanför Sverige som inte verkar ha upplevt våra hackersstormar så dem tycker att md5 fortfarande är brukligt för inloggningar. Bland annat menade en snubbe att md5 är likvärdigt med sha1+salt ur ett visst perspektiv ja ni kan ju läsa själva hur han förklarade ni som kan kryptologi. Så åter till min huvudfråga räcker det med att jag implementerar sha1+salt? Citat:
Kod:
<?php echo md5('password') . "\n"; echo md5('god') . "\n"; Citat:
Kod:
<?php $secure_salt = 'ASFK234'; echo md5('password' . $secure_salt) . "\n"; echo md5('god' . $secure_salt) . "\n"; Citat:
|
|||
Svara med citat |
2008-03-12, 22:08 | #2 | ||
|
|||
Har WN som tidsfördriv
|
Verkar okej när det gäller hantering av lösenord...
Tänk på följande saker Lagra inte salt och lösenord tillsammans Sätt minimum-längd på lösenorden, samt en siffra och ett specialtecken Vid databaskoppling ska du använda PDO med prepared statements. Och sist men inte minst...om din databas blir hackad.... tänk på att detta endast köper dig tid till att byta ut alla lösen. |
||
Svara med citat |
2008-03-12, 22:16 | #3 | |||
|
||||
Flitig postare
|
Citat:
http://www.phpit.net/article/handling-pass...rds-safely-php/ Lösenorden måste ju sparas på samma databas så dem kommer ju att ligga på samma ställe. Vart sparar man annars saltet som ska implementeras på alla sha1 pölsade lösenord? |
|||
Svara med citat |
2008-03-12, 22:23 | #4 | ||
|
|||
Har WN som tidsfördriv
|
Många sparar det siom på bilden jag bifogat. Spara det absolut inte i samma table, och helst inte ens i samma databas.
|
||
Svara med citat |
2008-03-12, 22:30 | #5 | |||
|
||||
Flitig postare
|
ic då får jag försöka att koppla ihop 2 databaser för mina class filer isåfall. Kommer ta ett tag innan jag lyckas med det OOP är forfarande som grötkod i mina ögon :blink: tar mig evigheter att förstå och kunna modifiera småsaker som skulle gått på sekunder i procedural programming.
|
|||
Svara med citat |
2008-03-12, 22:33 | #6 | ||
|
|||
Har WN som tidsfördriv
|
Gör så... bara du på något sätt kan separera lösen och salt. Lyckas man dumpa din databas och får tag i hash+salt så spelar saltet inte någon roll längre och man är tillbaka där man började... ett hashat lösenord.
Man kan då helt enkelt köra hashet mot rainbow tables... |
||
Svara med citat |
2008-03-12, 22:38 | #7 | ||
|
|||
Har WN som tidsfördriv
|
Du kan även köra med multiple runs (tror det heter så)... det betyder att du loop-hashar ihop hash+salt, x antal gånger och sen sparar x precis som salt...separat.
Alltså... när ett lösenord ska sparas händer följande: Du hashar lösenordet Du skapar ett salt Du slumpar fram ett tal Du fogar ihop salt+hash till en hash om och om igen (så många gånger som talet du slumpade fram är) EDIT* På så sätt behöver en hackare lösenordet, saltet och x. |
||
Svara med citat |
2008-03-12, 23:07 | #8 | |||
|
||||
Medlem
|
Liten sidofråga.
Jag har en tabell med MD5-hashade lösenord utan salt och vill lägga till salt till denna. Hur går man lämpligen tillväga? Ska man flagga upp det vid nästa användarinloggning, kolla att det är rätt lösenord och sedan lägga till salt och uppdatera hashen eller kan man göra det på annat vis? |
|||
Svara med citat |
2008-03-12, 23:09 | #9 | ||
|
|||
Har WN som tidsfördriv
|
Saltet kan du med gott samvete spara i samma tabell då det inte är hemligt, använd dock ett dynamiskt så inte samma salt används.
Om Brazzan har bra förklaring varför du ska spara det på annat ställe är jag väldigt nyfiken på det svaret SHA1(lösenordet+salt) lösenordet bör vara krav på längd, tecken osv och saltet dynamiskt. Sen får man kämpa om du ska knäcka alla lösenord. |
||
Svara med citat |
2008-03-12, 23:30 | #10 | ||
|
|||
Har WN som tidsfördriv
|
Citat:
Dock vet jag inte hur pass enkelt eller svårt det är när man har saltet... men varför chansa? Tar inte många minuter att fixa en separat lösning. |
||
Svara med citat |
Svara |
|
|