daGrevis Posted January 7, 2011 Report Share Posted January 7, 2011 http://x0.lv/post/php-funkcija-parolu-kontrolsummu-izveidei Nē, Es to neveidoju. Quote Link to comment Share on other sites More sharing options...
Blitz Posted January 7, 2011 Report Share Posted January 7, 2011 MD5 vairs nelauz ar bruteforce, bet meklē kolizijas, kas jau kadu laicinu strādā ļoti labi. Bet baigi sīki pa to visu nezinu. Respektīvi ideja: ja ir x ar hashu y, tad var piemeklet z ar tadu pashu hashu y Quote Link to comment Share on other sites More sharing options...
briedis Posted January 7, 2011 Report Share Posted January 7, 2011 MD5 vairs nelauz ar bruteforce, bet meklē kolizijas, kas jau kadu laicinu strādā ļoti labi. Bet baigi sīki pa to visu nezinu. Respektīvi ideja: ja ir x ar hashu y, tad var piemeklet z ar tadu pashu hashu y Stāsts cik saprotu nav par md5, te jau var glabāt arī sha512, bet konkrēti par to principu... Quote Link to comment Share on other sites More sharing options...
l27 Posted January 8, 2011 Report Share Posted January 8, 2011 Vienkāršāk: $sHash = md5($sPassword.md5($sPassword).'kaut kads nemainigs teksts'); Šim varianta priekšrocības - lielaka ātrdarbība - caurspīdīgs kods - var viegli pārliecinaties, ka nav backdoor - nevar izmantot hash datubāzi - ja gribi būt patiešām drošs, tad nomaini md5 uz sh512 Quote Link to comment Share on other sites More sharing options...
F3llony Posted January 23, 2011 Report Share Posted January 23, 2011 Vienkāršāk = vienkāršāk salauzt. Kā likums. Quote Link to comment Share on other sites More sharing options...
mad182 Posted January 23, 2011 Report Share Posted January 23, 2011 (edited) Ko tu tur vari salauzt? Parole + normāla sāls un miers. Viss pārējais ir muļķošanās. Edited January 23, 2011 by mad182 Quote Link to comment Share on other sites More sharing options...
F3llony Posted January 23, 2011 Report Share Posted January 23, 2011 Mad, pieņemsim, ka man pilnīgi nejauši gadījusies bibliotēka ar vairāk vai mazāk 200 citroniem passfrāžu un es pilnīgi nejauši nakts vidū nosapņoju tavas lapas ftp paroli, tāpat nosapņoju mysql dumpu un tavu statisko saltu. Kā tu domā, cik tavu lietotāju profili lidos uz Havaju (salām) šāda sapņa gadījumā? Quote Link to comment Share on other sites More sharing options...
briedis Posted January 23, 2011 Report Share Posted January 23, 2011 Mad, pieņemsim, ka man pilnīgi nejauši gadījusies bibliotēka ar vairāk vai mazāk 200 citroniem passfrāžu un es pilnīgi nejauši nakts vidū nosapņoju tavas lapas ftp paroli, tāpat nosapņoju mysql dumpu un tavu statisko saltu. Kā tu domā, cik tavu lietotāju profili lidos uz Havaju (salām) šāda sapņa gadījumā? Nu ja tu nosapņo ftp paroli, tad nu nafig kaut kādas bibliotēkas - pielabo skriptu, lai uzreiz pēc logina nosūtās meils ar paroli. Ja ir tādas problēmas ar drošību, nu tad nav vispār nekādas jēgas hašot paroles utt. Quote Link to comment Share on other sites More sharing options...
F3llony Posted January 24, 2011 Report Share Posted January 24, 2011 nu to var pēc tam, kad sql dumps jau izveidots. Bet vienalga, nav garantijas, ka admins pec pāris dienām neatradīs čaulu un neatslēgs tevi nakuj ar pāris uzzinātām parolēm. Quote Link to comment Share on other sites More sharing options...
codez Posted January 24, 2011 Report Share Posted January 24, 2011 Kaut kāds pilnīgs sviests. Ja parole ir atrodama 200M passfrāžu db, tad, ja tev ir piejams kods un hash, vienalga kāds būs kods, tu atradīsi to paroli. vienkārši laižot cauri tā 200M paroles tam koda algoritmam, kurš tev ir pieejams no ftp. Un nav nozīmes cik sarežģīts ir šis algoritms. Ja parole nav šajā 200M db, tad arī neatradīsi viņu vienkāršajā hašošanas variantā. Tāpēc pievienojos, ka $hash=hash(hash($password).$salt); ir vairāk kā pietiekami. Quote Link to comment Share on other sites More sharing options...
codez Posted January 24, 2011 Report Share Posted January 24, 2011 Nu ja tu nosapņo ftp paroli, tad nu nafig kaut kādas bibliotēkas - pielabo skriptu, lai uzreiz pēc logina nosūtās meils ar paroli. Ja ir tādas problēmas ar drošību, nu tad nav vispār nekādas jēgas hašot paroles utt. 99,9% gadījumu tā arī varēs izdarīt. Bet ir risinājums, kur jau starphashu no paroles izveido klienta pusē un cauru tīklu sūta jau hash-u, kuru servera pusē vēlvienreiz hasho. Quote Link to comment Share on other sites More sharing options...
l27 Posted January 24, 2011 Report Share Posted January 24, 2011 md5 izmantošna nav droša visvairāk dēļ sysadminiem, kuri bieži tiek pie user tabulas. Ja nenopietna sistēma, tad var būt būs tikai viens sysadmins (nafig arī paroli tad kašot, ja nenopietna), bet citādak var sanākt līdz 3-5. Man vienai sistemai bija drošibas audits un prasība bija sha512. Quote Link to comment Share on other sites More sharing options...
EdgarsK Posted January 24, 2011 Report Share Posted January 24, 2011 l27, normāli sistēmu administrātori netērē laiku lai lauztu paroles lapām kuras tie administrē. mans piegājies: <?php $pwd = $_POST['password']; $pwdc = strlen($pwd); $pwd1 = substr($pwd,($pwdc-2),2); $pwd2 = strrev(md5($pwd).'EK'); $pwd = sha1('Str'.$pwd1.$pwd2.'ong'); ?> Quote Link to comment Share on other sites More sharing options...
l27 Posted January 24, 2011 Report Share Posted January 24, 2011 l27, normāli sistēmu administrātori netērē laiku lai lauztu paroles lapām kuras tie administrē. Ja mēs runājam par ideālu pasauli, tad pilnībā piekrītu! Quote Link to comment Share on other sites More sharing options...
php newbie Posted January 24, 2011 Report Share Posted January 24, 2011 atceros kaut kur lasiju ka md5(md5()) nav īpašas jēgas, jo tikai palielinājas kolīziju iespējamība Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.