[PHP,MySQL]Kódování dat

Webdesign, HTML, CSS, Flash, PHP, ASP, .NET, JavaScript. Kritika www stránek na Smetišti.

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod kódlisko 16. 2. 2008 21:46

Zdravím
Řeším problém ukládání hesel v db. Potřebuju ukládat otisky hesel a chtěl jsem se zeptat, co se dnes používá, když MD5 je dávno prolomeno a popravdě ani nevím, co ještě mysql nebo PHP5 podporuje a dále jsem se chtěl zeptat, jak se řeší, když uživatel zapomene heslo které z hashe přece nejsem schopen zpětně získat.

A poslední dotaz, je opravdu problém ukládat heslo v čisté, tedy znakové podobě (cleartextu)? vadí to nečemu je ohrožena bezpečnost, například, kdyby někdo sledoval a filtroval tcp ip provoz nějakým wiresharkem a četl hlavičky GETu a POSTu?

Díky moc


// mbing : ■ Téma přesunuto ● z Programování do Tvorba webových stránek a aplikací.
HP 6510b 14", T7250,3GB ram,80Gb(7200ot),lightscribe mechanika,WXGA+ displej,travel battery
Delphi, C, JAVA,PHP--
má klávesnce je naprach, socialismus v troskách a ty si tu pouštíš draka...?!
kódlisko
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod kohutisko 16. 2. 2008 22:09

ak sa bojis o MD5 tak mozes tie hesla pred zahashovanim este 'osolit', cize medzi heslo a MD5 vsunut este nejaku svoju vlastnu hashovaciu funkciu alebo nejaku permutaciu a podobne, ktora bude ulozena osobitne a tak sa znizi riziko prelomenia.

ak uzivatel zabudne heslo treba mu vygenerovat nove.
kohutisko
Junior
Uživatelský avatar

Odeslat příspěvekod Nargon 16. 2. 2008 22:10

SHA1 by mel byt dalsi algoritmus, ktery snad je podporovan.

Kdyz zapomene heslo, tak mu nejake automaticky vygenerujes, treba "sDg3SA" a posles mu ho na mail. A jeho hash ulozis do db. Jinak to resit nejde.

a ukladat do db hashe ma vyznam jediny. Nelze z databaze zjistit jake heslo onen uzivatel ma. To je jedina vec. data se stejne v getu, postu posilaji normalne, takze si to heslo muze klidne nekdo odchytit. Protoze ten vypocet hashe a porovnani s db se deje az na serveru. Jedine kdyby jsi to heslo hashnul pomoci javascriptu, ale to je asi dost tezky, to by jsis musel napsat/najit hashovaci funkci :) a nebo pouzit https protocol.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod kódlisko 16. 2. 2008 22:17

A jak se v phpku používá SHA1, je to standardní soucastí?
HP 6510b 14", T7250,3GB ram,80Gb(7200ot),lightscribe mechanika,WXGA+ displej,travel battery
Delphi, C, JAVA,PHP--
má klávesnce je naprach, socialismus v troskách a ty si tu pouštíš draka...?!
kódlisko
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Nargon 16. 2. 2008 22:18

uplne stejne jako md5
http://cz.php.net/sha1
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod kódlisko 16. 2. 2008 22:19

A v MySQl dotazu to muži mít jako jsem mohl mít MD5?
HP 6510b 14", T7250,3GB ram,80Gb(7200ot),lightscribe mechanika,WXGA+ displej,travel battery
Delphi, C, JAVA,PHP--
má klávesnce je naprach, socialismus v troskách a ty si tu pouštíš draka...?!
kódlisko
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Z@chi 16. 2. 2008 22:51

MD5 bylo davno prolomeno? To jsou mi novinky. :)
Nalezeni kolize a prolomehi nashovaci funkce jsou dve uplne rozdilne veci.
MD5 muzes klidne pouzivat, pokud jsi na nej zvykly, popripade se podivej do MHASH po jine funkci, ale stejne se budes pohybovat v rozmezi MD5 - SHA1.
Popripade muzes tyto funkce zkombinovat.
md5(sha1("heslo"));
SHA1 je podporovana primo i MySQL, stejne jako MD5.
Z@chi
Junior
Uživatelský avatar

Odeslat příspěvekod Z@chi 16. 2. 2008 22:53

[quote="kódlisko";A jak se v phpku používá SHA1, je to standardní soucastí?s/quote]
co to treba zkusit, nez se zeptas?
http://cz2.php.net/sha1
[quote="kódlisko";A v MySQl dotazu to muži mít jako jsem mohl mít MD5?D/quote]
a opet je velice jednoduche to vyzkouset, nez se ptat. Nebo podolzit jeden dotaz google.
Z@chi
Junior
Uživatelský avatar

Odeslat příspěvekod kódlisko 16. 2. 2008 23:00

ok. Ano MD5 bylo dávno prolomeno a na internetu jsou zdrojáky, programy na dešifrování apod. Jen jsem se chtěl zeptat co se dnes používá a jak, dlouho jsem to nepotřeboval. A neboj hash funkce a hledání kolizí a takové ty nesmysly znám ze školy až až nemusíš mi dělat opakování
HP 6510b 14", T7250,3GB ram,80Gb(7200ot),lightscribe mechanika,WXGA+ displej,travel battery
Delphi, C, JAVA,PHP--
má klávesnce je naprach, socialismus v troskách a ty si tu pouštíš draka...?!
kódlisko
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Z@chi 17. 2. 2008 00:19

A mohl by jsi mi prosim ukazat nejaky program na desifrovani? (nemyslim Brutal Force, nebo Rainbow Tables).
Protoze ja si nemyslim ze MD5 byla prolomena.
Ale rad se poucim. :-)
Z@chi
Junior
Uživatelský avatar

Odeslat příspěvekod kohutisko 17. 2. 2008 09:17

[quote="kódlisko";ok. Ano MD5 bylo dávno prolomeno a na internetu jsou zdrojákyk/quote]
ak su k nejakej sifre zdrojaky, to neznamena, ze je zname ako ju prelomit. navyse si asi treba urobit jasno k tomu, co znamena 'prelomit'. ci je to reverzne najdenie povodneho hesla z hashu alebo najdenie kolizie. pretoze to prve je uz z principu fungovania hashovacej funkcie vo vseobecnosti nemozne ;-)
kohutisko
Junior
Uživatelský avatar

Odeslat příspěvekod kódlisko 17. 2. 2008 11:12

kohutisko píše:[quote="kódlisko";ok. Ano MD5 bylo dávno prolomeno a na internetu jsou zdrojákyk/quote]
ak su k nejakej sifre zdrojaky, to neznamena, ze je zname ako ju prelomit. navyse si asi treba urobit jasno k tomu, co znamena 'prelomit'. ci je to reverzne najdenie povodneho hesla z hashu alebo najdenie kolizie. pretoze to prve je uz z principu fungovania hashovacej funkcie vo vseobecnosti nemozne ;-)


U md5 byly nalezeny kolize (existují algoritmy, které kolizi najdou řádově za minuty), ale jako já chápu, že to neznamená, že se toho dá nějak prakticky zneužít při prolamování hesla (čili během minut nenajdeme výchozí hodnotu před hashováním).
Jen hledám nejlepší možnou a nejbezpečnější variantu
HP 6510b 14", T7250,3GB ram,80Gb(7200ot),lightscribe mechanika,WXGA+ displej,travel battery
Delphi, C, JAVA,PHP--
má klávesnce je naprach, socialismus v troskách a ty si tu pouštíš draka...?!
kódlisko
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Gigi 17. 2. 2008 11:29

Co se týká získání hesla, je MD5 stále bezpečné. Pokud heslo je dostatečně silné, tak prolomit (téměř) nelze. Jiné to je u slabých hesel, na Netu jsou služby, které alfanumerické heslo do 8mi znaků prolomí do několika hodin.
Gigi
Junior

Odeslat příspěvekod Z@chi 17. 2. 2008 12:00

A co ty zdrojáky, programy na DEŠIFROVÁNÍ apod, jak jsi o nich psal? :D
Z@chi
Junior
Uživatelský avatar

Odeslat příspěvekod kódlisko 17. 2. 2008 12:02

Z@chi píše:A co ty zdrojáky, programy na DEŠIFROVÁNÍ apod, jak jsi o nich psal? :D /quote]

Hledám je celou dobu, na jednom foru byl odkaz, kde psali, že jsou schopni získat z hashe původní data a teď ten odkaz ani nejede.
Asi to byl kec jelikož podle teorie na kterem je hash postavan by toto teda jít nemělo pokud se nepletu, že hash je jednosměrná funkce, k níž neexistuje žádná inverzní fce
HP 6510b 14", T7250,3GB ram,80Gb(7200ot),lightscribe mechanika,WXGA+ displej,travel battery
Delphi, C, JAVA,PHP--
má klávesnce je naprach, socialismus v troskách a ty si tu pouštíš draka...?!
kódlisko
Mírně pokročilý
Uživatelský avatar

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků