Хранение хеша паролей к БД

Для начала вообще надо определится зачем это нужно ? То, что хранят хэши пользователей давно не новость, но вот для подключения к БД ?

Я выскажу предположение, что вообще в этом нет необходимости. Если хакер смог вытащить пароли к БД, то будте уверены у него в руках не только пароли. Если же мы их все же получили случайно, то если хост не позволят подключаться удалено, то смысла в них нет.

Вопрос про пароли совершенно не интересен, да и при его затрагивании в той теме намешали в кучу кучу всего.

Вопрос использования паролей, это вопрос пары "клиент"-"сервер".

Так вот хранение паролей в виде хэшей на стороне "сервера", смеет свои плюсы и минусы. Это можно обсуждать и делать выводы.

Но хранить на стороне "клиента" пароли в виде хэша просто невозможно.

Потому что тот набор символов который у клиента хранится, и является "паролем". А как этот набор символов получен, это уже вопрос несущественный.

А php-скрипт подключающийся к mysql это как раз и есть "клиент". И посему то что хранится в переменной $пароль то и является паролем, ибо именно эту переменную серверу и предъявляют на сравнение.

Зачем нужно - дело второе =)

Там шла речь о том, что технически возможно хранить в коннект.пхп

$connect = mysql_pconnect('localhost', 'user', 'password');

вместо "password" некий хеш от "password". При этом с возможностью нормально подключиться.

Нужно, например, на случай, если вдруг неправильно настроили сервер и файл подключения (самая образцево-дурацкая ситуация - это .inc) отдался кому-то в плейнтексте. Если там незашифрованный пароль - наиблее предсказуемое развитие ситуации - находим phpMyadmin, лезем туда и грохаем все нафиг.

Вопрос, собсно, обращаю к тем личностям, которые говорили, что "хранение паролей в зашифрованном виде - это азы", в том числе паролей к БД. Интересует решение для самого обыкновенного никс-хостинга, с PHP, MySQL и более безникому.

Ну насколько мне известно, md5 выдает необратимый хэш. И что, писать под это брутфорсер чтоли? Или шифровать все возможные варианты, а потом сравнивать, или что?

$connect = mysql_pconnect('localhost', 'user', 'password');

Невозможно. Потому что этот хэш и будет паролем, который сообщается серверу.

Хранение паролей тна стороне клиента и на стороне сервера имеют разныю специфику:

- клиент должен помнить пароль что бы его сообщить серверу

- сервер должен убедиться что пароль соответвует логину и ранее введённому паролю

Соответвенно клиент должен хранить именно пароль, или _обратимо_зашифрованый_пароль_ который он будет расшифровывать перед предъявлением серверу.

А что мешает злоумышленнику имея хэш, передать его серверу ? Ничего .... все таки и правда смысла нет в этом ...

Я думаю в этом случае, проще написать свою функцию шифрования, и расшифровывать с помощю нее пароли. Если кто и считает их, то вряд ли будет париться с расшифровкой никому неизвестного алгоритма.

Добавил:

Однако в таком случае ее (функцию) тоже надо зазендить. Ну короче чушь получается :)

Это уже зависит от ценности данных ;)

Кроме того, в ситуации с щифрованием паролей к БД, приходится таскать с собой алгоритм дешифровки тех же паролей.

Мало что мешает злоумышленнику воспользоваться алгоритмом, который идёт в комплекте :)

ну можно сразу зазендить тот файл, где коннект, это удлиннит путь взломщика к доступу к базе

но если провайдер разрешит коннект к базе только с локального адреса, то это сразу сделает бесполезным знание паролей

разве что знаешь, где у этого провайдера лежит администратор БД

Давным давно.... во времена "трагедии .inc" было очень интересно применять пароли от базы к ftp/ssh

Иногда подходили :)

Опять же, есть мода выдавать клиенту индивидуальный хост к mysql, к которому можно подцепиться не только с узла хостинг-провайдера