Jump to content
php.lv forumi

Reģistrācijas sāls izveide


vostro

Recommended Posts

Sveiki, visiem, jautājums būtu par "sāls" izmantošana, kā īsti ir ar darbību? Vai es izdarīju pareizi?

 

Lietotājs reģistrējas.

 

1)Lauku validācija

 

2)paroles validācija // iziet cauri funkcijām md5 sha1 // nezinu vai pareizi

 

3)Tā saucamā sāls vienkārši nodefinēts mainīgais // nezinu vai pareizi vienkārši vārds salt123654789 // kas ievadās datubāzē login | password | salt

 

Pareiza doma?

Link to comment
Share on other sites

Pirmkārt, paroli hešo ar kko spēcīgāku par SHA1 (spēcīgāks, šajā gadījumā, būtu lēnāks). Otrkārt, saltu ģenerē unikālu katram lietotājam, lai tā nebūtu konstanta vērtība.

Link to comment
Share on other sites

Tas, ko tu uzrakstīji 2. punktā, nesaucas paroles validācija, bet paroles hešošana. Paroles validācija būtu pārbaude, vai, piemēram, tā ir vismaz 9 gaziljonus simbolu gara.

 

Otrkārt, kaut kas spēcīgāks par SHA1, kā norādīja daGrevis, būtu, piemēram, bcrypt.

Link to comment
Share on other sites

Jūū, lieto bcrypt, es vispār nesaportu tos, kuri vēl lieto md5 - nule kā pāris dienas atpakaļ kādai nezināmai parolei md5 kodējumam atradu atbildi trešajā saitā pēc kārtas, ko google piedāvāja. :)

 

Paroli atrada tikai tāpēc, ka hesham nebija klāt sāls...

Link to comment
Share on other sites

Jūū, lieto bcrypt, es vispār nesaportu tos, kuri vēl lieto md5 - nule kā pāris dienas atpakaļ kādai nezināmai parolei md5 kodējumam atradu atbildi trešajā saitā pēc kārtas, ko google piedāvāja. :)

nu nez.. prātīgi lietojot md5 (ar prefiksu piemēram) nekādi hashi neatrodas (tikko pārbaudīju)!

Link to comment
Share on other sites

Iedod man saltu & hešoto paroli; es tev atdošu atpakaļ stringu kurš ar saltu kopā hešojas uz tādu pašu stringu, kā tev tiek glabāts datubāzē. Tātad, pat ja tā nebūs tava īstā parole, ar to es varēšu ielogoties tavā saitā.

 

http://en.wikipedia....mputer_science)

 

Vienīga atšķirība... ja tev tas viss tiek hešots ar MD5 - tas man aizņems labi ja stundu. Ja tu to hešo ar bcrypt, tas aizņems dažus gadus. Tieši tāpēc lēnums/lēnība/esmu-lēns IR SVARĪGS šādās situācijās.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...