| | |
| Stránka: 1 z 1
| [ Príspevkov: 20 ] | |
Autor | Správa |
---|
Registrovaný: 27.08.09 Prihlásený: 08.07.15 Príspevky: 169 Témy: 46 |
Zdravím, aká funckia na hashovanie hesla je najlepšia resp najbezpečnejšia ? Vytvaram strnaku s citlivymi udajmi a potrbujem dobre zaheshovane hesla. Nasiel som tuto funckiu ale neviem ci nie je nieco este lepsie: http://php.net/manual/en/function.hash-pbkdf2.php
|
|
Registrovaný: 02.09.11 Prihlásený: 13.01.17 Príspevky: 561 Témy: 33 Bydlisko: Prešov |
_________________ MB: ASUS M5A78L LE , CPU: FX 6300 , HDD: WD Caviar Blue 500 GB RAM: Patriot 4GB KIT 2x2 DDR3 1333MHz Signature Line PSU: Fortron AX450 W 80+ VGA: Gigabyte GTX 560 SOC CASE: Bitfenix Shinobi CPU FAN: GELID Solutions Tranquillo rev.2 |
|
Registrovaný: 17.07.11 Prihlásený: 29.12.20 Príspevky: 1516 Témy: 3 | Napísal BX: 10.02.2013 21:04 | |
|
Alebo novšia, bezpečnejšia sha1 s nejakým poriadnym solením. Samotná md5 je dnes už dosť na nič. Na internete už je kopa databází s miliardami rozlúsknutých hashov.
_________________ Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
Registrovaný: 12.02.13 Prihlásený: 12.02.13 Príspevky: 2 Témy: 0 Bydlisko: Levice |
SHA1 je podľa mňa bezpečnejšie
|
|
Registrovaný: 27.08.09 Prihlásený: 08.07.15 Príspevky: 169 Témy: 46 | Napísal autor témy DeiForm: 12.02.2013 21:28 | |
|
co tak kombinacia sha1(md5($string)); ?
|
|
Registrovaný: 21.02.06 Prihlásený: 08.12.14 Príspevky: 5404 Témy: 30 Bydlisko: Bratislava | Napísal shaggy: 12.02.2013 21:51 | |
|
_________________ Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme. |
|
Registrovaný: 19.03.07 Prihlásený: 14.04.24 Príspevky: 7076 Témy: 85 Bydlisko: BA | Napísal void: 13.02.2013 0:17 | |
|
Treba poriadne dosolit a bude stacit aj MD5. Ta sol je ale dolezita.
_________________ Desktop: CPU AMD R7 1700x @ 3.85GHz | Cooling be quiet! Dark Rock Pro 4 | MB ASRock X470 Taichi Ult. | RAM 4x8GB DDR4 G-SKILL TridentZ RGB 3000 CL16-16-16-36 | VGA Powercolor VEGA56 + Raijintek Morpheus II | SSD Crucial MX300 525GB | HDD Seagate Ironwolf 3TB 5900rpm | PSU CORSAIR RM750X | MONITOR AOC Q3279VWFD8 | MOUSE HyperX Pulsefire FPS + Razer eXactMat | HyperX Alloy FPS Brown | HyperX Cloud | ARCH x64 & Notebook: DELL inspiron 7537 i7 4500U, 16GB RAM, nv750, FHD IPS,Crucial M4 128GB | ARCH x64 & Surface Go 8/128 & Mobil: LG v40 ThinQ (2018) & SBC: Raspberry pi 0 | 3B+ & Headphones: Senheiser HD58X | AKG K551 + detachable cable mod | Linsoul TIN T2 | KZ SZN |
|
Registrovaný: 27.08.09 Prihlásený: 08.07.15 Príspevky: 169 Témy: 46 | Napísal autor témy DeiForm: 17.02.2013 9:49 | |
|
Tak som si napísal niečo takéto: Môže byť? Kód: $pwd = $_POST['pwd']; $salt = $this->random(20); //Náhodný string z [a-z,A-Z,0-9], počet znakov 20
$pwd = md5($pwd.$salt).'$'.$salt;
|
|
Registrovaný: 14.04.09 Prihlásený: 18.01.22 Príspevky: 1188 Témy: 198 |
Salt musi byt predsa konstantny retazec. Ked si pripojis k heslu vzdy nahodny retazec, nikdy nedostanes rovnaky hash, takze by to nedavalo zmysel. Daj to nejak takto: Kód: $salt = 'dfg38;][43FDS6w6p0#@$%5h23,,26y+we+r98yf62gb3ddq224$#@#@3g'; $hash = sha1( $pwd . $salt );
_________________ CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Konštantný, ale len pre toho jediného konkrétneho usera... Salt samotný by mal byť náhodný reťazec, nie nejaká konštanta v zdrojákoch. Keby sa ti náhodou niekto dostal k zdrojákom, tak veľmi ľahko potom získa heslá všetkých userov, nech už bolo zasaltované akokoľvek, pretože bude poznať nielen postup, ale aj samotný salt. Okrem toho, neviem, čo tu špekulujete s vymýšľaním nových vecí, keď knižnice na saltovanie existujú a sú omnoho bezpečnejšie než tieto srandy...Odporúčam prečítať aj trochu teórie, nie tu len špekulovať Napr: http://crackstation.net/hashing-security.htmTu je okrem iného aj pekné vysvetlené, prečo rada "stačí aj MD5" je blbosť.
_________________ C#, PHP, ... |
|
Registrovaný: 14.04.09 Prihlásený: 18.01.22 Príspevky: 1188 Témy: 198 |
A ako potom skryjem salt ? Ak bude mat kazdy user rozdielny salt, bude ten salt ulozeny bud v DB - co by nemalo zmysel, alebo bude generovany vzdy rovnakym postupom => zasa sa bude dat vycitat zo zdrojaku. Ja beriem salt ako nieco, co ma ztazit prelomenie hashu, nie ma zachranit pred ukradnutymi zdrojakmi.
_________________ CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Proti ukradnutiu zdrojákov to neochráni, ale to som predsa ani nenapísal! Píšem o heslách. Prečítaj si radšej ten text, ktorý som sem postol, naozaj sa mi nechce hlbšie rozpisovať, keď tam je to opísané čo presnejšie. Ja sem nemôžem hodiť takto dlhý text a keď dačo vynechám, hneď na mňa piati skočia, že im dačo nesedí... Treba to vidieť v širšom kontexte. Tých článkov o tejto problematike je viac ako dosť, bohužiaľ nie každý má úplne pravdu, nech to píše akokoľvek "veľký profesionál"... Väčšina článkov je písaná wanabee-freelance-programátormi, ktorí práve objavili salting. Proste nie, nestačí si vymyslieť nejaký string a proste ho tam capnúť. Ak by nestačil jeden text, kľudne pohľadaj cez google, len odporúčam čítať hlavne anglické materiály a sledovať aj komentáre pod textom!
_________________ C#, PHP, ... |
|
Registrovaný: 19.03.07 Prihlásený: 14.04.24 Príspevky: 7076 Témy: 85 Bydlisko: BA | Napísal void: 17.02.2013 12:10 | |
|
1daemon1 píše: A ako potom skryjem salt ? Ak bude mat kazdy user rozdielny salt, bude ten salt ulozeny bud v DB - co by nemalo zmysel, alebo bude generovany vzdy rovnakym postupom => zasa sa bude dat vycitat zo zdrojaku. Ja beriem salt ako nieco, co ma ztazit prelomenie hashu, nie ma zachranit pred ukradnutymi zdrojakmi. Vies mi vysvetlit ako chces vycvitat microtime registracie uzivatela? (napriklad to by sa dalo pouzit ako salt) Alebo si proste vyhodis 10 random znakov a pouzijes to ako salt. Nieje saca zistit potom salt pre konkretneho uzivatela, tym padom to je "bezpecne" (v ramci moznosti). Ale ked si das do zdrojaku salt ako textovy retazec, tak to je to iste ako keby tam ani nebol.
Naposledy upravil void dňa 17.02.2013 12:37, celkovo upravené 1
_________________ Desktop: CPU AMD R7 1700x @ 3.85GHz | Cooling be quiet! Dark Rock Pro 4 | MB ASRock X470 Taichi Ult. | RAM 4x8GB DDR4 G-SKILL TridentZ RGB 3000 CL16-16-16-36 | VGA Powercolor VEGA56 + Raijintek Morpheus II | SSD Crucial MX300 525GB | HDD Seagate Ironwolf 3TB 5900rpm | PSU CORSAIR RM750X | MONITOR AOC Q3279VWFD8 | MOUSE HyperX Pulsefire FPS + Razer eXactMat | HyperX Alloy FPS Brown | HyperX Cloud | ARCH x64 & Notebook: DELL inspiron 7537 i7 4500U, 16GB RAM, nv750, FHD IPS,Crucial M4 128GB | ARCH x64 & Surface Go 8/128 & Mobil: LG v40 ThinQ (2018) & SBC: Raspberry pi 0 | 3B+ & Headphones: Senheiser HD58X | AKG K551 + detachable cable mod | Linsoul TIN T2 | KZ SZN |
|
Registrovaný: 14.04.09 Prihlásený: 18.01.22 Príspevky: 1188 Témy: 198 |
Walther:Nereagoval som k clanku, ale k tomu, co si pisal v prvom odstavci. Tiez nenamietam, len sa pytam. Ale ked pises, ze odpoved najdem v clanku, precitam si ho neskor. Urcite tam budu popisane dobre postupy a ja v tomto nie som odbornik. walther píše: Keby sa ti náhodou niekto dostal k zdrojákom, tak veľmi ľahko potom získa heslá všetkých userov,... Tym som pochopil ukradnutie zdrojakov. Nevadi, asi sme sa nepochopili. void:Nepochopil si vobec, co som sa mojim prispevkom snazil vyjadrit (bezohladu na to ci tejto problematike chapes lepsie ty, alebo ja). Ak mam salt ulozeny v zdrojakoch, utocnik potrebuje moj zdrojak + hash z databazy. Ak pouzivam ako salt microtime (alebo akykolvek retazec ktory si musim niekde uschovat), staci mu hash + microtime. A ked uz ziska hash, je podla mna pravdepodobne, ze dokaze ziskat aj microtime, pretoze obydve su v DB.
_________________ CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m |
|
Registrovaný: 19.03.07 Prihlásený: 14.04.24 Príspevky: 7076 Témy: 85 Bydlisko: BA | Napísal void: 17.02.2013 12:42 | |
|
1daemon1 píše: Walther:Nereagoval som k clanku, ale k tomu, co si pisal v prvom odstavci. Tiez nenamietam, len sa pytam. Ale ked pises, ze odpoved najdem v clanku, precitam si ho neskor. Urcite tam budu popisane dobre postupy a ja v tomto nie som odbornik. walther píše: Keby sa ti náhodou niekto dostal k zdrojákom, tak veľmi ľahko potom získa heslá všetkých userov,... Tym som pochopil ukradnutie zdrojakov. Nevadi, asi sme sa nepochopili. void:Nepochopil si vobec, co som sa mojim prispevkom snazil vyjadrit (bezohladu na to ci tejto problematike chapes lepsie ty, alebo ja). Ak mam salt ulozeny v zdrojakoch, utocnik potrebuje moj zdrojak + hash z databazy. Ak pouzivam ako salt microtime (alebo akykolvek retazec ktory si musim niekde uschovat), staci mu hash + microtime. A ked uz ziska hash, je podla mna pravdepodobne, ze dokaze ziskat aj microtime, pretoze obydve su v DB. V tom mas pravdu, lenze zvycajne sa k zdrojakom dostane lahsie ako k databaze... Btw, ono vec sa ma tak, ze za predpokladu ze by chcel utocnik pouzit databazy md5 hashov co najde po internetoch, tak mu to bude tak ci onak na nic, lebo vdaka saltu sa hashe nebudu zhodovat ani keby bolo heslo slovo zo slovnika. A potom... moze pouzit oba pristupy, cast saltu v zdrojaku, cast nahodne generovana v dbs Kazdopadne, md5(sha1, whatever) z nejak konkatinovaneho hesla a salt-u by malo byt dost bezpecne. (Inak wordpress pouziva metodu salt+hash ulozene v dbs)
_________________ Desktop: CPU AMD R7 1700x @ 3.85GHz | Cooling be quiet! Dark Rock Pro 4 | MB ASRock X470 Taichi Ult. | RAM 4x8GB DDR4 G-SKILL TridentZ RGB 3000 CL16-16-16-36 | VGA Powercolor VEGA56 + Raijintek Morpheus II | SSD Crucial MX300 525GB | HDD Seagate Ironwolf 3TB 5900rpm | PSU CORSAIR RM750X | MONITOR AOC Q3279VWFD8 | MOUSE HyperX Pulsefire FPS + Razer eXactMat | HyperX Alloy FPS Brown | HyperX Cloud | ARCH x64 & Notebook: DELL inspiron 7537 i7 4500U, 16GB RAM, nv750, FHD IPS,Crucial M4 128GB | ARCH x64 & Surface Go 8/128 & Mobil: LG v40 ThinQ (2018) & SBC: Raspberry pi 0 | 3B+ & Headphones: Senheiser HD58X | AKG K551 + detachable cable mod | Linsoul TIN T2 | KZ SZN |
|
Registrovaný: 14.04.09 Prihlásený: 18.01.22 Príspevky: 1188 Témy: 198 |
To je jedno, ci sa k zdrojakom dostane lahsie (aj ked, neviem ci by som suhlasil. skor zalezi na okolnostiach). Takto mu zdrojak s postupom hashovania k zisteniu hesiel nepomoze. No a co sa tyka WP, typujem ze pouzivaju kombinaciu aj-aj (skor nejaky postup na vytvorenie retazca v zdroji nez konkretny retazec). Alebo pouzivaju iba hash v DB, pretoze zdrojaky WP si aj tak ktokolvek stiahne, cize vidi zdroj.
_________________ CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m |
|
Registrovaný: 05.02.13 Prihlásený: 26.10.23 Príspevky: 59 Témy: 3 |
Možno kúsok neskoro ale pridám sem aj ja niečo overené. Mnoho podobných vecičiek nájdeš, ak použiješ google. Tento script, dovlím si povedať, že je bezpečnejší čo sa týka hashu ako 80% Open Source projektov. Kód: function login_hash($pass) { $salt = "somvelmipeknychlapec123567890blablaasdasd"; return hash("SHA256", hash("SHA256", sha1($salt).$pass.$salt)); }
|
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Viacnásobné hashovanie? Pozri si prosím ten link, čo som sem dal stranu dozadu... shaggy: keby len jeden, ale má to tam dvojmo napísané. Ach títo experti...
_________________ C#, PHP, ... |
|
Registrovaný: 27.08.09 Prihlásený: 08.07.15 Príspevky: 169 Témy: 46 | Napísal autor témy DeiForm: 23.02.2013 14:27 | |
|
Už som si to vyriešil takto a myslím že to vyhovuje. Len ešte menší detail, kolko znakov by som mal dat do saltu ? Viac? Menej? Kód: $pwd = $_POST['pwd']; $salt = $this->random(20); //Náhodný string z [a-z,A-Z,0-9], počet znakov 20
$pwd = md5($pwd.$salt).'$'.$salt;
|
|
Registrovaný: 17.07.11 Prihlásený: 29.12.20 Príspevky: 1516 Témy: 3 | Napísal BX: 23.02.2013 14:58 | |
|
A čítal si túto tému vôbec?
_________________ Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
| Stránka: 1 z 1
| [ Príspevkov: 20 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| md5 hash v PHP, ASP | 1 | 676 | 09.12.2010 21:02 shaggy | | hash funkcia v Assembler, C, C++, Pascal, Java | 3 | 1035 | 27.11.2009 18:38 johny3212 | | Hash tabulka v appke v JavaScript, VBScript, Ajax | 2 | 375 | 02.02.2016 10:51 BX | | Hash v sql where v PHP, ASP | 7 | 393 | 04.03.2012 16:27 account23 | | Aky hash - 11 znakov a = v Ostatné | 0 | 300 | 07.04.2012 23:17 exoomer | | PHP programátor - PHP, MySQL, jQuery,X)Html/CSS v Ponuka práce | 0 | 1304 | 02.05.2011 12:08 magicmedia | | Vytvorenie suboru php a vlozenie php scriptu v PHP, ASP | 4 | 1437 | 07.05.2010 14:02 DeiForm | | PHP nevie precitat .PHP v PHP, ASP | 8 | 829 | 18.03.2011 19:21 camo | | php ->mysql ->php Help.zoradit v PHP, ASP | 4 | 588 | 20.06.2009 12:44 KViki | | $pcforum->getForumActivity('PHP, ASP', 2012)/$pcforum->getForumActivity('PHP, ASP', 2022) - Warning: Division by zero v PHP, ASP | 4 | 2285 | 20.05.2022 13:51 JanoF | | PHP v PHP, ASP | 1 | 736 | 31.05.2007 16:24 kmsa | | PHP v PHP, ASP | 2 | 455 | 08.04.2016 20:44 5had0w | | PHP v PHP, ASP | 18 | 1177 | 01.01.2009 19:22 rooobertek | | PHP v PHP, ASP | 1 | 2725 | 09.06.2005 22:39 johny128 | | php Mod v Redakčné systémy | 4 | 773 | 26.12.2006 23:33 xyz | | PHP attachment v PHP, ASP | 2 | 607 | 12.09.2009 15:58 d0.0b |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|