vostro Posted February 15, 2012 Report Share Posted February 15, 2012 Sveiki, visiem, jautājums būtu par "sāls" izmantošana, kā īsti ir ar darbību? Vai es izdarīju pareizi? Lietotājs reģistrējas. 1)Lauku validācija 2)paroles validācija // iziet cauri funkcijām md5 sha1 // nezinu vai pareizi 3)Tā saucamā sāls vienkārši nodefinēts mainīgais // nezinu vai pareizi vienkārši vārds salt123654789 // kas ievadās datubāzē login | password | salt Pareiza doma? Quote Link to comment Share on other sites More sharing options...
daGrevis Posted February 15, 2012 Report Share Posted February 15, 2012 Pirmkārt, paroli hešo ar kko spēcīgāku par SHA1 (spēcīgāks, šajā gadījumā, būtu lēnāks). Otrkārt, saltu ģenerē unikālu katram lietotājam, lai tā nebūtu konstanta vērtība. Quote Link to comment Share on other sites More sharing options...
Kavacky Posted February 15, 2012 Report Share Posted February 15, 2012 Tas, ko tu uzrakstīji 2. punktā, nesaucas paroles validācija, bet paroles hešošana. Paroles validācija būtu pārbaude, vai, piemēram, tā ir vismaz 9 gaziljonus simbolu gara. Otrkārt, kaut kas spēcīgāks par SHA1, kā norādīja daGrevis, būtu, piemēram, bcrypt. Quote Link to comment Share on other sites More sharing options...
vostro Posted February 15, 2012 Author Report Share Posted February 15, 2012 Jā 2 punkta es uzrakstīju nepareizi. Quote Link to comment Share on other sites More sharing options...
daGrevis Posted February 15, 2012 Report Share Posted February 15, 2012 Ja tev ir paranoja, ir scrypt (stiprāks par bcrypt).... :D Quote Link to comment Share on other sites More sharing options...
vostro Posted February 15, 2012 Author Report Share Posted February 15, 2012 daGrevis paranoja :D:D:D Quote Link to comment Share on other sites More sharing options...
briedis Posted February 15, 2012 Report Share Posted February 15, 2012 Jūū, lieto bcrypt, es vispār nesaportu tos, kuri vēl lieto md5 - nule kā pāris dienas atpakaļ kādai nezināmai parolei md5 kodējumam atradu atbildi trešajā saitā pēc kārtas, ko google piedāvāja. :) Paroli atrada tikai tāpēc, ka hesham nebija klāt sāls... Quote Link to comment Share on other sites More sharing options...
codez Posted February 15, 2012 Report Share Posted February 15, 2012 (edited) Par sāļiem un hešiem satraucās tie, kas jau pamatā paredz, ka viņu db var viegli nodumpot. Edited February 15, 2012 by codez Quote Link to comment Share on other sites More sharing options...
daGrevis Posted February 15, 2012 Report Share Posted February 15, 2012 Lieka drošība nekad nav nākusi par ļaunu, ne? Quote Link to comment Share on other sites More sharing options...
eT` Posted February 15, 2012 Report Share Posted February 15, 2012 safety first. es heshoju ar SHA1 + jūras sali un nesūdzos par veselību. Quote Link to comment Share on other sites More sharing options...
Grey_Wolf Posted February 16, 2012 Report Share Posted February 16, 2012 Par sāļiem un hešiem satraucās tie, kas jau pamatā paredz, ka viņu db var viegli nodumpot. Pilnībā piekrītu. Piedevām ja būs piekļuve DB, tad 90% gadijumu nekādi sāļi nepalīdzēs ... Quote Link to comment Share on other sites More sharing options...
aika Posted February 16, 2012 Report Share Posted February 16, 2012 Jūū, lieto bcrypt, es vispār nesaportu tos, kuri vēl lieto md5 - nule kā pāris dienas atpakaļ kādai nezināmai parolei md5 kodējumam atradu atbildi trešajā saitā pēc kārtas, ko google piedāvāja. :) nu nez.. prātīgi lietojot md5 (ar prefiksu piemēram) nekādi hashi neatrodas (tikko pārbaudīju)! Quote Link to comment Share on other sites More sharing options...
daGrevis Posted February 16, 2012 Report Share Posted February 16, 2012 Iedod man saltu & hešoto paroli; es tev atdošu atpakaļ stringu kurš ar saltu kopā hešojas uz tādu pašu stringu, kā tev tiek glabāts datubāzē. Tātad, pat ja tā nebūs tava īstā parole, ar to es varēšu ielogoties tavā saitā. http://en.wikipedia....mputer_science) Vienīga atšķirība... ja tev tas viss tiek hešots ar MD5 - tas man aizņems labi ja stundu. Ja tu to hešo ar bcrypt, tas aizņems dažus gadus. Tieši tāpēc lēnums/lēnība/esmu-lēns IR SVARĪGS šādās situācijās. Quote Link to comment Share on other sites More sharing options...
aika Posted February 16, 2012 Report Share Posted February 16, 2012 iedod! :) OK, varbūt es te iebraucu drusk pa citu tēmu, ne par salt lietošanu īsti - bet gan par md5 ar prefiksu, kuru no dampa ārā nedabūsi. Quote Link to comment Share on other sites More sharing options...
daGrevis Posted February 16, 2012 Report Share Posted February 16, 2012 Tu man labāk iedod... ;D Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.