Reģistrācijas sāls izveide

[vostro]

Sveiki, visiem, jautājums būtu par "sāls" izmantošana, kā īsti ir ar darbību? Vai es izdarīju pareizi?

 

Lietotājs reģistrējas.

 

1)Lauku validācija

 

2)paroles validācija // iziet cauri funkcijām md5 sha1 // nezinu vai pareizi

 

3)Tā saucamā sāls vienkārši nodefinēts mainīgais // nezinu vai pareizi vienkārši vārds salt123654789 // kas ievadās datubāzē login | password | salt

 

Pareiza doma?

[daGrevis]

Pirmkārt, paroli hešo ar kko spēcīgāku par SHA1 (spēcīgāks, šajā gadījumā, būtu lēnāks). Otrkārt, saltu ģenerē unikālu katram lietotājam, lai tā nebūtu konstanta vērtība.

[Kavacky]

Tas, ko tu uzrakstīji 2. punktā, nesaucas paroles validācija, bet paroles hešošana. Paroles validācija būtu pārbaude, vai, piemēram, tā ir vismaz 9 gaziljonus simbolu gara.

 

Otrkārt, kaut kas spēcīgāks par SHA1, kā norādīja daGrevis, būtu, piemēram, bcrypt.

[vostro]

Jā 2 punkta es uzrakstīju nepareizi.

[daGrevis]

Ja tev ir paranoja, ir scrypt (stiprāks par bcrypt).... :D

[vostro]

daGrevis paranoja :D:D:D

[briedis]

Jūū, lieto bcrypt, es vispār nesaportu tos, kuri vēl lieto md5 - nule kā pāris dienas atpakaļ kādai nezināmai parolei md5 kodējumam atradu atbildi trešajā saitā pēc kārtas, ko google piedāvāja. :)

 

Paroli atrada tikai tāpēc, ka hesham nebija klāt sāls...

[codez]

Par sāļiem un hešiem satraucās tie, kas jau pamatā paredz, ka viņu db var viegli nodumpot.

Edited February 15, 2012 by codez

[daGrevis]

Lieka drošība nekad nav nākusi par ļaunu, ne?

[eT`]

safety first.

es heshoju ar SHA1 + jūras sali un nesūdzos par veselību.

[Grey_Wolf]

Par sāļiem un hešiem satraucās tie, kas jau pamatā paredz, ka viņu db var viegli nodumpot.

Pilnībā piekrītu.

Piedevām ja būs piekļuve DB, tad 90% gadijumu nekādi sāļi nepalīdzēs ...

[aika]

Jūū, lieto bcrypt, es vispār nesaportu tos, kuri vēl lieto md5 - nule kā pāris dienas atpakaļ kādai nezināmai parolei md5 kodējumam atradu atbildi trešajā saitā pēc kārtas, ko google piedāvāja. :)

nu nez.. prātīgi lietojot md5 (ar prefiksu piemēram) nekādi hashi neatrodas (tikko pārbaudīju)!

[daGrevis]

Iedod man saltu & hešoto paroli; es tev atdošu atpakaļ stringu kurš ar saltu kopā hešojas uz tādu pašu stringu, kā tev tiek glabāts datubāzē. Tātad, pat ja tā nebūs tava īstā parole, ar to es varēšu ielogoties tavā saitā.

 

http://en.wikipedia....mputer_science)

 

Vienīga atšķirība... ja tev tas viss tiek hešots ar MD5 - tas man aizņems labi ja stundu. Ja tu to hešo ar bcrypt, tas aizņems dažus gadus. Tieši tāpēc lēnums/lēnība/esmu-lēns IR SVARĪGS šādās situācijās.

[aika]

iedod! :) OK, varbūt es te iebraucu drusk pa citu tēmu, ne par salt lietošanu īsti - bet gan par md5 ar prefiksu, kuru no dampa ārā nedabūsi.

[daGrevis]

Tu man labāk iedod... ;D