Bezpečné uložení hesel do DB – PHP – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Bezpečné uložení hesel do DB – PHP – Fórum – Programujte.comBezpečné uložení hesel do DB – PHP – Fórum – Programujte.com

 

Twinn
~ Anonymní uživatel
1 příspěvek
21. 1. 2010   #1
-
0
-

Dobrý den, mám hesla v databázu uložena jako sha1(heslo) a podle tohoto článku http://miho.blog.zive.cz/2010/01/jak-ukladat-hesla-do-databaze/ to není bezpečné. Nechci po uživatelích chtít, aby si měnili heslo. Použití vícenásobného hashování (sha1(sha1(heslo)) prý je k ničemu.

Co ale kdybych k aktuálnímu sha1otisku přisal sůl a pak bych použil znovu sha1? Tzn:

sha1(sha1(heslo)+salt)

Je to bezpečné?

Nahlásit jako SPAM
IP: 77.93.216.–
marioff0
Expert
21. 1. 2010   #2
-
0
-

To Twinn : ano malo by to byt dostatocne, ide hlavne o to aby si sa nedala pouzit rainbow tabulka.... ktora zabezpecuje najjednoduchsie "zlomenie" hesiel, nakolko vacsina uzivatelov ma slovnikove hesla


inak salt moze byt aj napr uzivatelovo meno, cize sa bude vzdy menit aj salt ;)

Nahlásit jako SPAM
IP: 195.78.44.–
Škoda, že život sa nedá "sejvovať", tak že by som po zlom životnom rozhodnutí mohol začať odznova :([br] Lenivosť je matka pokroku.[br][br] http://cut.sk/ - odstrihni si dlhý link
Yety0
Stálý člen
23. 1. 2010   #3
-
0
-

A co vymyslet nějaký jednoduchý šifrovací algoritmus (v PHP) a ukládat hesla šifrovaně?

Nahlásit jako SPAM
IP: 62.245.72.–
Kapitán A. J. Rimmer vesmírný dobrodruh
w3m0
Grafoman
23. 1. 2010   #4
-
0
-

Yety: Šifrovací algoritmy se dají rozšifrovat, a tedy to není vhodný způsob ukládání hesel do DB. A hashovací algoritmus nikdo ze dne na den nevymyslí.

Správný postup je sha1($username.$heslo). Takto se stává z username dynamická sůl a díky tomu dvě stejné hesla mají odlišný hash.

Nahlásit jako SPAM
IP: 84.42.151.–
Sa Nata A Na. Howgh
polonium0
Návštěvník
23. 1. 2010   #5
-
0
-

Je nejaky specialni duvod proc nepouzivate md5??

Nahlásit jako SPAM
IP: 88.146.176.–
Curo
~ Šéfredaktor
+8
Hero
23. 1. 2010   #6
-
0
-

To polonium : Je to jedno, jestli MD5 nebo SHA1.

Každopádně jako sůl bych doporučoval používat něco neveřejného (přezdívka je veřejná) a lze si tedy sestavit ke konkrétnímu uživateli opět hashe slovníkových hesel.

Nahlásit jako SPAM
IP: 88.102.243.–
Guitar Hero Master, Project führer & zdejší čaroděj.
Sleduj mě na twitteru – @lukaschury.
marioff0
Expert
23. 1. 2010   #7
-
0
-

To Curo : ano, najlepsie asi nieco taketo:

sha1($login."^^^jdjžťHUIHZU*+djf## NEJAKY ZHLUK ZNAKOV (pismena,cisla,specialne znaky)Žu<đ5".$password);


samozrejme dany "zhluk znakov" musi byt rovnaky :smile1:

Nahlásit jako SPAM
IP: 195.78.44.–
Škoda, že život sa nedá "sejvovať", tak že by som po zlom životnom rozhodnutí mohol začať odznova :([br] Lenivosť je matka pokroku.[br][br] http://cut.sk/ - odstrihni si dlhý link
Mega.Lama0
Stálý člen
23. 1. 2010   #8
-
0
-

stiahneš si z netu AES šiftovací algoritmus, nastavíš dĺžku 256 bitov a pokiaľ máš zabezpečený prístup k databáze potom sa nemáš čoho báť.

Nahlásit jako SPAM
IP: 85.135.144.–
http://www.youtube.com/watch?v=j_tWGyCK6Ds ...kto by veril,že je to otcov bratranec z druhého kolena?...
Mega.Lama0
Stálý člen
23. 1. 2010   #9
-
0
-

stiahneš si z netu AES šiftovací algoritmus, nastavíš dĺžku 256 bitov a pokiaľ máš zabezpečený prístup k databáze potom sa nemáš čoho báť.

Nahlásit jako SPAM
IP: 85.135.144.–
http://www.youtube.com/watch?v=j_tWGyCK6Ds ...kto by veril,že je to otcov bratranec z druhého kolena?...
Mega.Lama0
Stálý člen
23. 1. 2010   #10
-
0
-

stiahneš si z netu AES šiftovací algoritmus, nastavíš dĺžku 256 bitov a pokiaľ máš zabezpečený prístup k databáze potom sa nemáš čoho báť.

Nahlásit jako SPAM
IP: 85.135.144.–
http://www.youtube.com/watch?v=j_tWGyCK6Ds ...kto by veril,že je to otcov bratranec z druhého kolena?...
Mega.Lama0
Stálý člen
23. 1. 2010   #11
-
0
-

Sorry za triple post ale tak sekol mi odosielací skript -.-

Nahlásit jako SPAM
IP: 85.135.144.–
http://www.youtube.com/watch?v=j_tWGyCK6Ds ...kto by veril,že je to otcov bratranec z druhého kolena?...
w3m0
Grafoman
24. 1. 2010   #12
-
0
-

polonium napsal:
Je nejaky specialni duvod proc nepouzivate md5??


MD5 už dnes není příliš bezpečné.


@Curo: Dynamická sůl má hlavní účel k tomu, aby dvě stejné hesla neměly stejný hash. Kdyby to bylo bez soli, zadal bys "123456789" a automaticky by ti to vyhodilo všechny uživatele s tímto heslem, mezitímco takhle cracker musí jít uživatel po uživateli. Neveřejný dynamický hash je podle mě už mírně přehnané, to už jen zvětšuje délku hesla v případě, že by se sha1čku pokusil někdo lámat.

Nahlásit jako SPAM
IP: 84.42.151.–
Sa Nata A Na. Howgh
marioff0
Expert
24. 1. 2010   #13
-
0
-

w3m napsal:

Neveřejný dynamický hash je podle mě už mírně přehnané, to už jen zvětšuje délku hesla v případě, že by se sha1čku pokusil někdo lámat.



v mojom pripade je to hlavny dovod... v pripade kompromitacie mojej db cracker nevyuzije ani rainbow ani brutalforce lamanie, nakolko maju moje hesla minimalne 150-200 znakov. Paranoia v tomto pripade nikdy nie je dostatocne velka....

Mozno dalsi mensi doplnok by spocival v prehadzani poradia vysledneho hash-u, nejak takto: substr($hash,30,10).substr($hash,0,15).substr($hash,15,15), pripadne ine upravy....

To Mega.Lama : sifrovat heslo je blbost, nevidim dovod naco by to bolo dobre, zbytocne velky bezpecnostny risk... bez dovodu.. Ja pouzivam sifrovanie na osobne udaje, tel.cisla ale aj e-mail adresy, ale na heslo to je fakt blbost...

Nahlásit jako SPAM
IP: 195.78.44.–
Škoda, že život sa nedá "sejvovať", tak že by som po zlom životnom rozhodnutí mohol začať odznova :([br] Lenivosť je matka pokroku.[br][br] http://cut.sk/ - odstrihni si dlhý link
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 10 hostů

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý