Каким способом надежнее шифровать пароли? (PHP)

1 23
[Удален]
#21
Sinless:

Кстати, такая ещё мысль. Можно при регистрации пользователя генерировать случайную последовательность символов и заносить её в базу. Это спасёт даже если уведут "общий" ключ. Но это уже фанатизм, согласен. Хотя, почему бы и нет :)


$key = 'Agdf0fs23';
//...
function password($login,$password) {
global $key;
$private_key //Получаем из базы по логину
return md5($key.$password.$private_key);
}

а что вам мешает сделать так ??


$pwd = md5(md5($password) . $salt);

помоему самое оптимальное :)

P
На сайте с 08.03.2007
Offline
250
#22

http://ru.wikipedia.org/wiki/SHA2 0 стойкая, поддерживается софтом, есть реализации на бльшинстве языков, в том числе JavaScript

dkameleon
На сайте с 09.12.2005
Offline
386
#23
bearman:
а вообще соль надо не плюсовать, а солью надо разбалять пароль, то есть мешать соль и пароль вместе, вот тогда будет реальни айс :) ну и пара хеш функций подряд не повредят с солями.

разбавление ни на йоту не добавляет криптостойкости.

по умолчанию предполагается, что злоумышленник знает алгоритм и имеет все необходимые входящие парметры.

что ему приплюсовывать соль по известному алгоритму, что перемешивать - без разницы.

в лучшем случае можно немного накинуть времени усложнением алгоритма.

а ещё можно увеличить время многократным хэшированием, хоть бы и в цикле.

при логине то всего один раз вычисляется :)

Дизайн интерьера (http://balabukha.com/)
dvaes
На сайте с 03.09.2007
Offline
65
#24

надо просто не допускать, чтоб хэш сперли))) единственное это с вашей бд. тогда возникает вопрос, смысл так хэшировать пароли, если у вас в системе такие дыры, что злоумышленник может добраться до бд и посмотреть все ваши соли к паролю и т.д.

если у пользователя перехватят куку, то смысл им ее брутфорсить. просто подставят себе и войдут на сайт. а в куки можно и не записывать пароль юзера, а записывать второй пароль, сгенерированный вашим скриптом (т.е. в бд будет 2 разных пароля. та же самая соль). точно так же можно подставить, но хэш пароля пользователя хотя бы будет неизвестен.

BrokenBrake
На сайте с 03.03.2007
Offline
194
#25

dvaes, фигасе, отзывы у тебя. Ты ещё работаешь на заказ?

P
На сайте с 10.03.2008
Offline
168
#26

<?

function zadrot5($pas) {
for($i = 1; $i <= 7000; $i++) $pas = md5(base64_encode($pas.$i));
return $pas;
}
echo zadrot5('123');
?>
BrokenBrake
На сайте с 03.03.2007
Offline
194
#27

pistol, 7000 слишком мало!

P
На сайте с 10.03.2008
Offline
168
#28

Да, как время появится свободное - перепишу скрипт на 7500 🚬

1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий