Jump to content
php.lv forumi

Parolju Glabaashana Ieksh Mysql

Sliipeetais

By Sliipeetais
in PHP un PHP :)

 Share

Recommended Posts

Sliipeetais Newbie

Sliipeetais

Posted
Posted

Ar kaadaam metodeem sashifreet paroles, kuras tiek glabaatas MySQL datu baazee? (Droshiibas pasaakums situaacijai, ja kaadam ljaunajam urkjim izdodas tikt klaat DB, kuraa glabaajas visas lietotaaju paroles...).

 

P.S.

Kaa lai es savu php foruma pieregjistreeto vaardu "sliipeetais" nomainu uz "Sliipeetais"?

roberc Newbie

roberc

Posted
Posted

nu par to md5 es gan šaubos.

man liekas, ka md5 hasho paroles. un ar jebkuru tāda tipa f-ju paroles netiek šifrētas. tiek atgriezts tikai x-bitu hash-keys. nu to it kā var saglabāt un pārbaudīt ievadītās paroles hashu ar saglabāto hashu. bet pašu paroli dabūt atpakaļ nevar :(

 

es gan nenodarbotos ar paroļu kriptu. labāk ir nosekūrēt serveri tā, lai neviens netiek klāt bāzēm. pie tam nevienu nopietnu projektu, kurā ir iemaisītas paroles, neviens neliek virsū uz koplietošanas serveriem...

 

kaut gan tā ir katra webmastera darīšana.

Sliipeetais Newbie

Sliipeetais

Posted
  • Author
Posted

Iisti neiebraucu, tikai sapratu to, ka md5 ir kaut kas, kas it kaa padara paroli nesaprotamu, tachu negarantee, ka taa ir tieshaam sashifreeta.

Mazliet pabrowseeju un nonaacu pie sleedziena, ka jaalieto crypt, ar attieciigo shifreeshanas metodi, kas jau ir peec izveeles (rc4, blowfish u.t.t.)...

Sliipeetais Newbie

Sliipeetais

Posted
  • Author
Posted

ahaa, palasiijos manuaaljus. md5 - taatad, sajauc mainiigo radot mixfix simbolu virkni. nav atkodeejams, liidz ar to paroli var izvilkt tikai ar brute force (normaali, ja parole ir garaaka par 6 simb. buus paaraak ietilpiigs darbs). Atkodeejams nav, tachu saliidzinaams ar kaadu citu mainiigo gan.

 

Taatad lietojams ;)

Roze Newbie

Roze

Posted
Posted
nu par to md5 es gan šaubos.

man liekas, ka md5 hasho paroles. un ar jebkuru tāda tipa f-ju paroles netiek šifrētas. tiek atgriezts tikai x-bitu hash-keys. nu to it kā var saglabāt un pārbaudīt ievadītās paroles hashu ar saglabāto hashu. bet pašu paroli dabūt atpakaļ nevar

 

es gan nenodarbotos ar paroļu kriptu. labāk ir nosekūrēt serveri tā, lai neviens netiek klāt bāzēm. pie tam nevienu nopietnu projektu, kurā ir iemaisītas paroles, neviens neliek virsū uz koplietošanas serveriem...

 

kaut gan tā ir katra webmastera darīšana.

Nu a prieksh kam dabuut atpakalj saglabaato paroli? Oneway imho ir krietni efektivaaks. Ja reiz lietotaajs ir aizmirsis paroli gjenereejam vinjam jaunu un izsuutam nevis taisam kaut kaadus decrypt.

 

Kaa sho te saprast "nopietnu projektu .. uz koplietoshanas serveriem"?

Kas ir nopietni projekti tavupraat un kas ir koplietoshanas serveri? Free hostinga piedavataaji vai kaa?

 

Nopietniem projektiem ir arii nopietni droshiibas risinaajumi. Paarsvaraa DB serveri no publiskaa tiikla nav pieejami vispaar. Konekcijas starp lietojum/webserveri izmanto piemeeram SSL vai arii piemeeram kripteetus tuneljus alja IPSEC. Jo preteeji jau tas viss ir kakjim zem astes ja paroles ir kripteetas a viens ieseezhas pa vidu un saak snifot packetes un http requestus.

 

Tachu arii nenopietnaam lietaam ir veerts ieveerot zinaamus droshiibas pasaakumus kaut vai deelj cilveekiem kas taas lietos. Proti peec pieredzes (un arii pats skatoties uz sevi) cilveeki parolju izdomaa nav visai orgjinaali un izmantotaas paroles der arii citur (e-pastiem, darbstaciju loginiem utt)..

 

Pie kam nostaadne par kastes "sekuureeshanu" ir pareiza lai gan principaa parolju/datu kripteeshanas jeega ir tajaa ja arii kaads pie datubaazeem tiek tad no datiem nav iisti jeegas (ja nu kaadam ir veelme nodarboties ar bruteforce).

 Share
Go to topic listing
×
×
  • Create New...