Покинул форум
Сообщений всего: 14
Дата рег-ции: Март 2011
Помог: 0 раз(а)
Доброе время суток, подскажите пожалуйста, что такое "соль". Как вообще эта функция пишеться, для чго она нужна?
Мелкий
Отправлено: 19 Марта, 2011 - 11:24:01
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Это не функция. Это нечто, добавляющееся в функции хэширования, например:
md5($pass."gejdsvcdslvkugr");
вот "gejdsvcdslvkugr" - и есть соль. Если её не знать, то даже если украсть значение md5, подобрать значение, дающее такой результат, то залогиниться всё равно не удастся.
----- PostgreSQL DBA
Владимир87
Отправлено: 19 Марта, 2011 - 17:18:31
Новичок
Покинул форум
Сообщений всего: 14
Дата рег-ции: Март 2011
Помог: 0 раз(а)
Мелкий пишет:
Это не функция. Это нечто, добавляющееся в функции хэширования, например:
md5($pass."gejdsvcdslvkugr");
вот "gejdsvcdslvkugr" - и есть соль. Если её не знать, то даже если украсть значение md5, подобрать значение, дающее такой результат, то залогиниться всё равно не удастся.
подойдет? Получается, что переменная $log, если ее "украдут", то значение злоумышленник получит не в полном объеме,а только значение $_POST, без "qwertyu". Я правильно понял? И еще сразу вопрос - если я правильно понял, то в базе ко всем паролям нужно конкатенировать "qwertyu". Это так или нет? Спасибо заранее.
Мелкий
Отправлено: 19 Марта, 2011 - 17:32:09
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Владимир87 пишет:
Получается, что переменная $log, если ее "украдут", то значение злоумышленник получит не в полном объеме,а только значение $_POST, без "qwertyu".
Получится, что можно будет подобрать (если получится подобрать) только бесполезное значение, скорей всего не имеющее отношение ни к оригинальному паролю, ни к соли. Хэши подбирать довольно неблагодарное занятие, перебором самих паролей брутфорсом вероятности побольше подобрать.
Владимир87 пишет:
И еще сразу вопрос - если я правильно понял, то в базе ко всем паролям нужно конкатенировать "qwertyu". Это так или нет?
нет, не так.
----- PostgreSQL DBA
ALEN
Отправлено: 19 Марта, 2011 - 20:08:13
Участник
Покинул форум
Сообщений всего: 1459
Дата рег-ции: Авг. 2008 Откуда: Крым
Помог: 11 раз(а)
Вся соль заключается втом, что даже если ты скажешь, что приставка к паролю при создании хэша равна "qwertyu" , то получив хэши самих паролей, злоумышленник вряд ли спокойно подберет сами пароли, покуда все базы которые ведут хранения хэшей не хранят пароли с такими приставками.
Например пароль: 123456 - его хэш = e10adc3949ba59abbe56e057f20f883e , этот хэш ты легко раскодируешь, а вот пароль 123456qwertyu - его хэш будет равен a4246fd151488e49d4118c8e691d33ce и практически нереальный шанс найти расшифровку этого хэша, т.к. вряд ли его кто вводил где - либо. Таким образом выходит, что проще заняться брутом, чем расшифровкой пароля.
В общем думаю понятно немного стало, как это работает!?
JustUserR
Отправлено: 20 Марта, 2011 - 00:17:27
Активный участник
Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009
Помог: 17 раз(а)
Владимир87 пишет:
Доброе время суток, подскажите пожалуйста, что такое "соль". Как вообще эта функция пишеться, для чго она нужна?
Использование позиционной конкатенации специального salt-значений в процессе генерации ассоцированных hash-кодов для оригинальных информационных полей, позволяет осуществить усложнение процесса подбора оригинального значения пароля на основании применения механизма радужных таблиц Rainbow tables, в условиях отсутсивия возможно модификаиции локального элементного уровня трактования и информационного кодового описания для предполагаемого подобранного значения пароля
----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
Владимир87
Отправлено: 20 Марта, 2011 - 11:25:56
Новичок
Покинул форум
Сообщений всего: 14
Дата рег-ции: Март 2011
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.