Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Шифрование паролей, сессий, куков... [2]
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
makar3000 пишет:
Hapson Всмысле на всех? На всех версиях php? (Добавление)
PHP 5 >= 5.1.2,
Нет, не php. Вот к примеру доступность алгоритмов в crypt() зависит от того под чем работает сервер - Windows, Linux...
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
Саныч
Отправлено: 30 Июля, 2013 - 19:23:04
Участник
Покинул форум
Сообщений всего: 1365
Дата рег-ции: Июль 2010 Откуда: Украина, Запорожье
Помог: 62 раз(а)
makar3000 пишет:
md5 не расшифровывается, ну только в тех случаях если пароли: 123456, 123321, qwerty
md5 ни в каких случаях не расшифровывается, а находится перебором значений, то бишь по словарю.
Hapson пишет:
Ладно, но главное-то: hash("sha512", $pass) - будет работать на всех системах?
Да на всех. Алгоритмы md5, sha1, sha512 на текущий момент на столько популярны, что в ближайшее время никто их не вырежет из PHP.
Hapson пишет:
я буду вынужден после смены алгоритма юзать двойную проверку
Совсем не вынужден. Просто меняете алгоритм, новые пользователи совсем ничего не почувствуют, старым прийдется восстановить пароль. Ну можете для корректности повесить на некоторое время на главной сообщение, мол произошли некоторые изменения, возможно вам прийдется пройти процедуру восстановления пароля.
Hapson пишет:
Но вопрос в том, стоит ли повышать время шифрования. Усложнится ли задача взломщика, если у него есть БД, хеши, соли и мой алгоритм. То есть он будет делать банальный перебор. Но перебор будет долгим за счет алгоритма.
Нет не стоит... десятка итераций хеширования с засолкой будет более чем достаточно.
Сами подумайте, если у хацкера все есть, то как занимал у вас алгоритм 5 секунд, так и у него он займет 5 секунд... Да и не будет никто таким заниматься. Тем более что если влезли и в базу, и в код, то стоит ли вобще уже переживать за хеши (Добавление)
teddy пишет:
И прощай сессионная кука.
Сессионная кука никуда не денется, она как была, так и останется, т.к. это единственный способ серверу узнать, где чья сессия.
Просто станет чуть меньше вероятность, что ее сопрут.
----- Все возражают против того, что я гений, хотя никто еще так меня не назвал. - Орсон Уэллс
Hapson
Отправлено: 30 Июля, 2013 - 19:32:57
Посетитель
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
Саныч пишет:
Да на всех. Алгоритмы md5, sha1, sha512 на текущий момент на столько популярны, что в ближайшее время никто их не вырежет из PHP.
Понятно, спасибо.
А что лучше md5, hash(), crypt() (если в функциях тоже использовать md5)?
Саныч пишет:
то стоит ли вобще уже переживать за хеши
Ну да, почта вся есть... затупил я.
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
Саныч
Отправлено: 30 Июля, 2013 - 19:38:55
Участник
Покинул форум
Сообщений всего: 1365
Дата рег-ции: Июль 2010 Откуда: Украина, Запорожье
Помог: 62 раз(а)
Hapson, crypt - это шифрование, а hash - хеширование, это разные вещи и сказать что лучше нельзя.
Используйте хеширование sha512 в цикле с засолкой несколько раз, 5 - 10, больше смысла нет. И как говорил уже caballero: "не заморачиватесь с проблемами которых нет".
----- Все возражают против того, что я гений, хотя никто еще так меня не назвал. - Орсон Уэллс
makar3000
Отправлено: 30 Июля, 2013 - 19:51:01
Гость
Покинул форум
Сообщений всего: 107
Дата рег-ции: Авг. 2011
Помог: 0 раз(а)
[+]
Саныч пишет:
md5 ни в каких случаях не расшифровывается, а находится перебором значений, то бишь по словарю.
Я это и имел ввиду, что есть сайты типа cmd5.ru, с большой базой нубо-паролей. Вот если есть пароль то он вам его выдаст, ну а если сложный то за денюжку =)
Hapson
Отправлено: 30 Июля, 2013 - 19:51:12
Посетитель
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
Саныч
Спасибо. Я в принципе уже написал нечто похожее.
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.