Меню
Что нового?

Hash Functions и хранение паролей, интересны мнения

dark-demon

d(^-^)b
важно ещё понимать, что нет смысла наворачивать безопасность там, где в ней нет потребности.
например, несколько задалбывает, когда заходишь на какой-нибудь сайт в качестве читателя, а он сразу врубает ssl, начинает грузить сертификатами, интерфейс браузера становится непривычным, кэш отрубается и прочие прелести "безопасного соединения"
 

@ndrey

Новичок
важно ещё понимать, что нет смысла наворачивать безопасность там, где в ней нет потребности.
Нажмите для раскрытия...
это точно. кстати похожая тема уже обсуждалась, в том числе и crypt, варианты с солью и md5(md5())...
 
Духовность™

Духовность™

Продвинутый новичок
ааа! вот что значит соль!! могли бы просто сказать - секретное слово! а то соль!

я сам шифрую пароли md5('секретное_слово'.$_POST['password']) и мне этого хватает! это очень надежно!!!
 
fixxxer

fixxxer

К.О.
Партнер клуба
фишка в том, что никаокго секрета salt не составляет.
посмотри, что выдает crypt (например в /etc/shadow) - salt там всегда присутствует в plain text непосредственно в той же строке что и хэш
смысл не в какой-то дополнительной security by obscurity (а смысл? если я вытащил мд5-хэш, я наверняка и salt рядом увижу), а в том, что это исключает использование заранее подготовленной базы хэшей распространенных паролей.
 

phpdev2007

Новичок
а в том, что это исключает использование заранее подготовленной базы хэшей распространенных паролей.
Нажмите для раскрытия...
а если атакующий поделывает запрос, для входа в систему, ведь тогда таже соль будет автоматически добавлена к подставляемому паролю.
Я думаю хорошая капча на входе пользователя, плюс соль получаем более мене нормальную защиту, хотя от вирусов на стороне пользователя веб приложение не может сделать защиту.
 
cDLEON

cDLEON

Онанист РНРСlub
а смысл? если я вытащил мд5-хэш, я наверняка и salt рядом увижу
Нажмите для раскрытия...
Вы уверены? МД5 хеш может совпадать у разных строк. И где вы там соль увидите фиг вас знаит...
 
Wicked

Wicked

Новичок
cDLEON
у меня такое подозрение, что ты ни разу не видел вывод функции crypt(), а если и видел, то не понимаешь, что он значит.

И причем тут вообще "МД5 хеш может совпадать у разных строк." ?
 

TutanXamoN

Новичок
cDLEON
МД5 хеш может совпадать у разных строк
Нажмите для раскрытия...
Может, за час на ИБМ кластере было выявлено около трёх таких строк.

Очень сомнительно что две такие строки будут использоваться.

ЗЫ всё-таки мд5() стал стандартом де-факто хранения паролей видимо ето неспроста. да потом стали добавлять соления но изначально его сочли безопасным для хранения.
 
Mr_Max

Mr_Max

Первый класс. Зимние каникулы ^_^
Команда форума
хорошая капча на входе пользователя
Нажмите для раскрытия...
Предлагаю сканировать сетчатку. Топик про сканированние был несколькими днями раньше.
 
cDLEON

cDLEON

Онанист РНРСlub
Wicked
Ну если я правильно понял фиксера, то он говорил про МД5 хеши, в которых он почему то собрался увидеть соль.
А при чём здесь функция крипт к моему посту я так и не понял.
Может, за час на ИБМ кластере было выявлено около трёх таких строк.

Очень сомнительно что две такие строки будут использоваться.
Нажмите для раскрытия...
Если не использывать соление, то будут подходить все.
И секолько запросов он сможет делать не "задосив" сервер?
Нажмите для раскрытия...
Да ладно тебе...Пароли от аськи тырили именно этим способом. Вернее он самый распространённый был)
Правда у аськи свой протокольчеГ. Но суть не в этом. Суть в том, что было бы желание, а решение найти можно =)
 
Войдите или зарегистрируйтесь для ответа.
Сверху