Komentarze do: Szyfrowanie haseł http://www.cojack.pl/szyfrowanie-hasel Programowanie oraz Open Source powodem do życia Sun, 27 Nov 2011 08:56:20 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Autor: Artur http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-208 Artur Wed, 21 Apr 2010 14:54:49 +0000 http://cojack.os-cms.pl/?p=307#comment-208 Zna ktoś z was jakąś funkcję w php która kodowałby ciąg znaków używając do tego soli i następnie byłaby możliwość odkodowania tego używając tej soli? Mam problem ze znalezieniem czegoś takiego. Zna ktoś z was jakąś funkcję w php która kodowałby ciąg znaków używając do tego soli i następnie byłaby możliwość odkodowania tego używając tej soli? Mam problem ze znalezieniem czegoś takiego.

]]> Autor: Dominik http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-200 Dominik Sat, 27 Mar 2010 15:49:00 +0000 http://cojack.os-cms.pl/?p=307#comment-200 A propos - ostatnio uzywalem owszem md5 ale w innej kombinacji: md5(haslo statyczne aplikacji + haslo usera + losowe 32 znaki) wg mnie to juz dobre zabezpiecznie ;) A propos – ostatnio uzywalem owszem md5 ale w innej kombinacji:

md5(haslo statyczne aplikacji + haslo usera + losowe 32 znaki)

wg mnie to juz dobre zabezpiecznie ;)

]]> Autor: Dominik http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-199 Dominik Sat, 27 Mar 2010 15:46:14 +0000 http://cojack.os-cms.pl/?p=307#comment-199 Zgodze sie ze (samo) md5 to "slabe" rozwiazanie, jednak nagminnie uzywane przez deweloperow (ktorzy maja sie za super-wyszkolonych). No coz - moze do pierwszego przechwycenia danych ;) Zgodze sie ze (samo) md5 to „slabe” rozwiazanie, jednak nagminnie uzywane przez deweloperow (ktorzy maja sie za super-wyszkolonych). No coz – moze do pierwszego przechwycenia danych ;)

]]> Autor: cojack http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-174 cojack Fri, 05 Feb 2010 08:36:41 +0000 http://cojack.os-cms.pl/?p=307#comment-174 ktosik ogarnął temat, dzięki. ktosik ogarnął temat, dzięki.

]]> Autor: ktosik http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-170 ktosik Wed, 03 Feb 2010 15:41:33 +0000 http://cojack.os-cms.pl/?p=307#comment-170 "Jest jeden mały problem z tą funkcją, po przeniesieniu strony wraz z bazą danych na inny hosting, istnieje prawdopodobieństwo iż hasła mimo że są poprawne nie będą pasować. Dlaczego?" Gdyż ponieważ pod crypt() jest używana funkcja kryptograficzna, którą administrator może sobie zmienić. Dla przykładu, większość aktualnych dystrybucji Linux używa BlowFish. Są inne do wyboru. Zapisane hasło via crypt() na jednym systemie może być porównane na innym systemie tylko, gdy na nim także używana jest ta sama metoda kryptograficzna. „Jest jeden mały problem z tą funkcją, po przeniesieniu strony wraz z bazą danych na inny hosting, istnieje prawdopodobieństwo iż hasła mimo że są poprawne nie będą pasować. Dlaczego?”

Gdyż ponieważ pod crypt() jest używana funkcja kryptograficzna, którą administrator może sobie zmienić. Dla przykładu, większość aktualnych dystrybucji Linux używa BlowFish. Są inne do wyboru. Zapisane hasło via crypt() na jednym systemie może być porównane na innym systemie tylko, gdy na nim także używana jest ta sama metoda kryptograficzna.

]]> Autor: cojack http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-162 cojack Mon, 25 Jan 2010 08:30:25 +0000 http://cojack.os-cms.pl/?p=307#comment-162 Athlan to szyfrowanie w title to wiesz wabik ;p Athlan to szyfrowanie w title to wiesz wabik ;p

]]> Autor: eee http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-132 eee Fri, 01 Jan 2010 12:55:44 +0000 http://cojack.os-cms.pl/?p=307#comment-132 po co by miała być dodawana do sumy kontrolnej (tylko)? crypt (z PHP i tak jak to w UNIXie wygląda) działa następująco: sol=[losowy ciag]; hash=hash(sol+haslo); zapisz(sol+hash); Przyjąłem, że bardziej chodzi o znalezienie hasła a nie kolizji. Sól jak najdłuższa, np. 20 znaków. Jeśli chodzi o znalezienie hasła to tablice się na nic nie zdadzą, a kolizję łatwiej, choć nie widziałem takowych. Myślę, że mimo wszystko będą "za słabe" aby znaleźć kolizję dla dłuższego ciągu znaków. po co by miała być dodawana do sumy kontrolnej (tylko)?
crypt (z PHP i tak jak to w UNIXie wygląda) działa następująco:
sol=[losowy ciag];
hash=hash(sol+haslo);
zapisz(sol+hash);

Przyjąłem, że bardziej chodzi o znalezienie hasła a nie kolizji. Sól jak najdłuższa, np. 20 znaków. Jeśli chodzi o znalezienie hasła to tablice się na nic nie zdadzą, a kolizję łatwiej, choć nie widziałem takowych. Myślę, że mimo wszystko będą „za słabe” aby znaleźć kolizję dla dłuższego ciągu znaków.

]]> Autor: Athlan http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-131 Athlan Fri, 01 Jan 2010 11:12:32 +0000 http://cojack.os-cms.pl/?p=307#comment-131 A najbezpieczniejsze jest solenie haseł :) http://athlan.pl/hashowanie-hasel-z-sola/ Poza tym szyfrowanie != haszowanie (funkcją skrótu). A najbezpieczniejsze jest solenie haseł :)
http://athlan.pl/hashowanie-hasel-z-sola/

Poza tym szyfrowanie != haszowanie (funkcją skrótu).

]]> Autor: sobstel http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-130 sobstel Fri, 01 Jan 2010 10:55:33 +0000 http://cojack.os-cms.pl/?p=307#comment-130 owszem md5 nie jest zalecane, ale glownie jako suma kontrolna. jak sam napisales chodzi o mozliwosc kolizji, a jaki problem stanowi mozliwosc kolizji w przypadku zaszyfrowania dwoch roznych hasel? stosunkowo maly (w porownaniu z zastosowaniem do liczenia sumy kontrolnej), przynajmniej dla nie-paranoików. prawdziwym problemem jest rainbow tables, dlatego najlepiej stosowac salty (np. w takim symfony posuwaja sie do tego, ze dla kazdego usera jest inny salt). owszem md5 nie jest zalecane, ale glownie jako suma kontrolna. jak sam napisales chodzi o mozliwosc kolizji, a jaki problem stanowi mozliwosc kolizji w przypadku zaszyfrowania dwoch roznych hasel? stosunkowo maly (w porownaniu z zastosowaniem do liczenia sumy kontrolnej), przynajmniej dla nie-paranoików. prawdziwym problemem jest rainbow tables, dlatego najlepiej stosowac salty (np. w takim symfony posuwaja sie do tego, ze dla kazdego usera jest inny salt).

]]> Autor: cojack http://www.cojack.pl/szyfrowanie-hasel/comment-page-1#comment-129 cojack Fri, 01 Jan 2010 06:05:08 +0000 http://cojack.os-cms.pl/?p=307#comment-129 YYy z tego co ja widziałem to sól jest dodawana do sumy kontrolnej a nie do stringu. Więc podejście bynajmniej ciekawsze ;) A powiedz mi jak się nie nadają, to ile znakową sól będziesz tworzył? Tu nawet nie chodzi o odgadnięcie hasła, a stworzenie drugiej takiej samej sumy w tych kiepskich algorytmach. YYy z tego co ja widziałem to sól jest dodawana do sumy kontrolnej a nie do stringu. Więc podejście bynajmniej ciekawsze ;) A powiedz mi jak się nie nadają, to ile znakową sól będziesz tworzył? Tu nawet nie chodzi o odgadnięcie hasła, a stworzenie drugiej takiej samej sumy w tych kiepskich algorytmach.

]]>