Насколько безопасно хранить пароль в самом ПХП файле?

Статус
В этой теме нельзя размещать новые ответы.

pupkin

Guest
Какой то балаган АНлимитед тут у Вас..

На самом деле расшифровать можно... Но это довольно долгое дело...
Насколько долгое? Вот тебе хеш:

0f02400ac491df1ab88480cb3ac5f536

Буду ждать :)

Ответ надеюсь получить в этой жизни..
 

Altex

Новичок
Автор оригинала: StUV
вот именно...

IMHO, не одно и то же :)
Всё определяется определением. Перебор является возможным вариантом расшифровки. Ну если перевести на тебе более-понятно-приятный язык - "перебор является возможным вариантом взлома, для получения первоначального значения зашифрованной строки" :) Можешь считать что я сказал так и в прошлый раз :)

Сам бы я не стал разумеется пробывать расшифровать эту хрень.
 

Фанат

oncle terrible
Команда форума
это не взломщик, а переборщик
и написать его можно на чем угодно.
 

BoFFiN

Новичок
Насколько долгое? Вот тебе хеш:

0f02400ac491df1ab88480cb3ac5f536

Буду ждать :)

Ответ надеюсь получить в этой жизни..
Смотря из чего состоит этот пароль, если он состоит из одних цифр и укладывается в 10 символов, то ответ могу сообщить завтра... Естевенно если это 16-и символьный пароль, набранный буквами, цифрами, то про перебор можно забыть..
На самом деле в интернете вытаскивал шифрованные md5() (очень часто как раз из тхт-файла)
пароли и перебирал их в 30%.

P.S. При правильной настройке сервера и работе скрипта, вытащить пароль из пхп-файла, всё равно что перебрать пароль мд5...
 

Mixan

Guest
Для тех кто все ещё надеется расшифровать хэш, простенький пример...
У вас есть картинка. Вы считаете количество цветов на ней и получаете уникальное число. Разжевываю: скажем, красный, синий, белый в определенных количествах. Допустим, у вас украли эти записи. И что? Да, у вора есть данные о количестве цветов. Однако у него нет данных о расположении этих цветов на картинке! Соответственно, он ни коим образом (кроме перебора) не может её восстановить.
Теперь поняли, что расшифровывать там нечего? :)
Зато он может высчитать эти данные для своей картинки, и сравнить с украденными данными. И, соответственно, узнать - совпадают ли они или нет. Вот и все...
 

lovchy

nacido para cifrar
> Смотря из чего состоит этот пароль, если он состоит из одних цифр и укладывается в 10 символов

Если пароль состоит только из цифр и максимум 10 символов я тебе и без хэша сервер пробрутфоршу, хотя и займёт это чуть больше. При чём тут это? :].

Хэш есть хэш. Он спасает от просмотра пароля, а не от пользователя который ставит его длиной в 2-3 идентичных символа.

Если это на самом деле критично - делай проверку на содержание пароля.

> При правильной настройке сервера и работе скрипта,

Зачем ставить бронированную дверь, если за эту же цену есть деревянная? Хотя здесь, на самом деле, и до паранои недалеко.
 

tony2001

TeaM PHPClub
>Т.е. вытащить пароль из ПХП очень сложно?
вытащи что-нибуь из кода этого форума.
 

BoFFiN

Новичок
Originally posted by L0vCh1Y
>Если пароль состоит только из цифр и максимум 10 символов я тебе и без хэша сервер пробрутфоршу, хотя и займёт это чуть больше. При чём тут это? :].
Ну конечно если у тебя там 2-мегабитный канал, то даже с учетом этого перебрать 10-й пароль даже состоявший из одних чисел, через сеть мне кажеться не реально... Просто по времени, не говоря уже о других ньюнсах....


>Хэш есть хэш. Он спасает от просмотра пароля, а не от пользователя который ставит его длиной в 2-3 идентичных символа.

Если ты имеешь виду, что просто шифрует(искажает) пароль, то для этого необязательно md5() применять..
 

lovchy

nacido para cifrar
> Ну конечно если у тебя там 2-мегабитный канал, то даже с учетом этого перебрать 10-й пароль даже состоявший из одних чисел, через сеть мне кажеться не реально... Просто по времени, не говоря уже о других ньюнсах....

Я сказал, что это займёт немного больше времени :]. И 2-метровый канал тут ни при чём.

> Если ты имеешь виду, что просто шифрует(искажает) пароль, то для этого необязательно md5() применять..

Я имею ввиду, что если юзер идиот и пишет паролем свой логин, то тут тебя ничто не спасёт :].
 

BoFFiN

Новичок
Originally posted by L0vCh1Y

> Я имею ввиду, что если юзер идиот и пишет паролем свой логин, то тут тебя ничто не спасёт :].
Этот случай по-моему вообще не стоит оговаривать.
Я говорю, про то, что любой 6-7-значный ХЕШ можно перебрать. Или 6-7 значные пароли сейчас ставят только полные "чайники"?!
 

lovchy

nacido para cifrar
> Я говорю, про то, что любой 6-7-значный ХЕШ можно перебрать.

Иногда лучше жевать, чем говорить (c) ,]
 

BoFFiN

Новичок
Originally posted by Net Dog
lol

Перебери:
пасс 7 символов,
диапазон [a-Z0-9] !,@,#,$,%,^,&,*,(,),_,+,

hash: 807db351ba09867ef7feb47009fd9612
Любите вы цепляться к словам, у вас наверное из + - _ *(%; советую туда еще побольше пробелов сувать, никто не переберет точно!
То что ты мне дал, при большом желание я переберу без проблем... Если бы ты был Рокфеллером, думаю я бы поспорил
с тобой на млн $.

P.S. По-моему мы тут не по теме базарим, я просто хотел сказать из пхп-файла при нормальной настройке сервера, так же легко(сложно) перебрать пароль на md5();
Кстати советую хранить пароль именно в пхп-файле, нежели в каком-нибудь текстовом и т.п. проверено.
 

lovchy

nacido para cifrar
Случай тяжёлый.

> Кстати советую хранить пароль именно в пхп-файле, нежели в каком-нибудь текстовом и т.п. проверено.

Давай начнём с того, что php-файл - это не бинарник, а именно _текстовый файл_.

Далее

> у вас наверное из + - _ *(%;

Если у тебя пароли из 2-3 цифр, я могу тебе только посочувствовать :].

И ещё

> Если бы ты был Рокфеллером, думаю я бы поспорил с тобой на млн $.

Если бы _ты_ был Рокфеллером, я бы с тобой поспорил. Но ты не расплатишься ,].
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху