[PHP,MySQL]Kódování dat

od **kódlisko** 16. 2. 2008 21:46

Zdravím
Řeším problém ukládání hesel v db. Potřebuju ukládat otisky hesel a chtěl jsem se zeptat, co se dnes používá, když MD5 je dávno prolomeno a popravdě ani nevím, co ještě mysql nebo PHP5 podporuje a dále jsem se chtěl zeptat, jak se řeší, když uživatel zapomene heslo které z hashe přece nejsem schopen zpětně získat.

A poslední dotaz, je opravdu problém ukládat heslo v čisté, tedy znakové podobě (cleartextu)? vadí to nečemu je ohrožena bezpečnost, například, kdyby někdo sledoval a filtroval tcp ip provoz nějakým wiresharkem a četl hlavičky GETu a POSTu?

Díky moc

// mbing : ■ Téma přesunuto ● z Programování do Tvorba webových stránek a aplikací.

od **kohutisko** 16. 2. 2008 22:09

ak sa bojis o MD5 tak mozes tie hesla pred zahashovanim este 'osolit', cize medzi heslo a MD5 vsunut este nejaku svoju vlastnu hashovaciu funkciu alebo nejaku permutaciu a podobne, ktora bude ulozena osobitne a tak sa znizi riziko prelomenia.

ak uzivatel zabudne heslo treba mu vygenerovat nove.

od **Nargon** 16. 2. 2008 22:10

SHA1 by mel byt dalsi algoritmus, ktery snad je podporovan.

Kdyz zapomene heslo, tak mu nejake automaticky vygenerujes, treba "sDg3SA" a posles mu ho na mail. A jeho hash ulozis do db. Jinak to resit nejde.

a ukladat do db hashe ma vyznam jediny. Nelze z databaze zjistit jake heslo onen uzivatel ma. To je jedina vec. data se stejne v getu, postu posilaji normalne, takze si to heslo muze klidne nekdo odchytit. Protoze ten vypocet hashe a porovnani s db se deje az na serveru. Jedine kdyby jsi to heslo hashnul pomoci javascriptu, ale to je asi dost tezky, to by jsis musel napsat/najit hashovaci funkci

a nebo pouzit https protocol.

od **kódlisko** 16. 2. 2008 22:17

A jak se v phpku používá SHA1, je to standardní soucastí?

od **Nargon** 16. 2. 2008 22:18

uplne stejne jako md5
http://cz.php.net/sha1

od **kódlisko** 16. 2. 2008 22:19

A v MySQl dotazu to muži mít jako jsem mohl mít MD5?

od **Z@chi** 16. 2. 2008 22:51

MD5 bylo davno prolomeno? To jsou mi novinky.

Nalezeni kolize a prolomehi nashovaci funkce jsou dve uplne rozdilne veci.
MD5 muzes klidne pouzivat, pokud jsi na nej zvykly, popripade se podivej do MHASH po jine funkci, ale stejne se budes pohybovat v rozmezi MD5 - SHA1.
Popripade muzes tyto funkce zkombinovat.
md5(sha1("heslo"));
SHA1 je podporovana primo i MySQL, stejne jako MD5.

od **Z@chi** 16. 2. 2008 22:53

[quote="kódlisko";A jak se v phpku používá SHA1, je to standardní soucastí?s/quote]
co to treba zkusit, nez se zeptas?
http://cz2.php.net/sha1
[quote="kódlisko";A v MySQl dotazu to muži mít jako jsem mohl mít MD5?D/quote]
a opet je velice jednoduche to vyzkouset, nez se ptat. Nebo podolzit jeden dotaz google.

od **kódlisko** 16. 2. 2008 23:00

ok. Ano MD5 bylo dávno prolomeno a na internetu jsou zdrojáky, programy na dešifrování apod. Jen jsem se chtěl zeptat co se dnes používá a jak, dlouho jsem to nepotřeboval. A neboj hash funkce a hledání kolizí a takové ty nesmysly znám ze školy až až nemusíš mi dělat opakování

od **Z@chi** 17. 2. 2008 00:19

A mohl by jsi mi prosim ukazat nejaky program na desifrovani? (nemyslim Brutal Force, nebo Rainbow Tables).
Protoze ja si nemyslim ze MD5 byla prolomena.
Ale rad se poucim. :-)

od **kohutisko** 17. 2. 2008 09:17

[quote="kódlisko";ok. Ano MD5 bylo dávno prolomeno a na internetu jsou zdrojákyk/quote]
ak su k nejakej sifre zdrojaky, to neznamena, ze je zname ako ju prelomit. navyse si asi treba urobit jasno k tomu, co znamena 'prelomit'. ci je to reverzne najdenie povodneho hesla z hashu alebo najdenie kolizie. pretoze to prve je uz z principu fungovania hashovacej funkcie vo vseobecnosti nemozne ;-)

od **kódlisko** 17. 2. 2008 11:12

kohutisko píše:[quote="kódlisko";ok. Ano MD5 bylo dávno prolomeno a na internetu jsou zdrojákyk/quote]
ak su k nejakej sifre zdrojaky, to neznamena, ze je zname ako ju prelomit. navyse si asi treba urobit jasno k tomu, co znamena 'prelomit'. ci je to reverzne najdenie povodneho hesla z hashu alebo najdenie kolizie. pretoze to prve je uz z principu fungovania hashovacej funkcie vo vseobecnosti nemozne

U md5 byly nalezeny kolize (existují algoritmy, které kolizi najdou řádově za minuty), ale jako já chápu, že to neznamená, že se toho dá nějak prakticky zneužít při prolamování hesla (čili během minut nenajdeme výchozí hodnotu před hashováním).
Jen hledám nejlepší možnou a nejbezpečnější variantu

od **Gigi** 17. 2. 2008 11:29

Co se týká získání hesla, je MD5 stále bezpečné. Pokud heslo je dostatečně silné, tak prolomit (téměř) nelze. Jiné to je u slabých hesel, na Netu jsou služby, které alfanumerické heslo do 8mi znaků prolomí do několika hodin.

od **Z@chi** 17. 2. 2008 12:00

A co ty zdrojáky, programy na DEŠIFROVÁNÍ apod, jak jsi o nich psal?

od **kódlisko** 17. 2. 2008 12:02

Z@chi píše:A co ty zdrojáky, programy na DEŠIFROVÁNÍ apod, jak jsi o nich psal? /quote]

Hledám je celou dobu, na jednom foru byl odkaz, kde psali, že jsou schopni získat z hashe původní data a teď ten odkaz ani nejede.
Asi to byl kec jelikož podle teorie na kterem je hash postavan by toto teda jít nemělo pokud se nepletu, že hash je jednosměrná funkce, k níž neexistuje žádná inverzní fce

[PHP,MySQL]Kódování dat

Kdo je online