md5(), чутка разъясните

[voland]

md5(), чутка разъясните

Уже был в поиске, читал про шифрование паролей!

Наскоко я понял, я должен сверить пароль введенный $pass и тот что в БД
$pas==md5($pass)
Я только не понял когдя я отправляю пароль в БД в первый раз я должен указать md5($pass), или как то по другому?

 

[.des.]

да. Суть в том, что пароль в открытом виде не хранится нигде (кроме головы пользователя [=читать: "на бумажке, приклеенной к монитору"]) и в открытом виде не передается (в случае шифрования на клиенте).
Только однажды при назначении нового пароля он доходит до скрипта, хешируется и заносится в базу хеш.

 

[jeka!]

Как угодно, только если укажишь перед отправлением, то не сможешь его прочесть в будующем.
И сверяй аналогично, если в базе сумма md5, то
md5($pas)==$pass
иначе меняй местами.
Я это к тому, что если пользователь забудет пароль, то придётся высылать ему новый, а это уже усложнение скрипта.

 

[voland]

мда... я не много неправильно задал вопрос, на каком этапе я должен шифровать пароль, для занесения в БД!
НУ например я с формы получил получил $pass=123
Что я должен сделать, чтобы перед запросом его шифрануть?

Пробовал в запросе, не шифрует!

 

[jeka!]

$post_pass = 12345;
Pass = md5($post_pass);

 

[voland]

Аа.... блин...туплю.. надо было догадаться, что раз это хеширование, и наскоко я понимаю дешефратора нет, то и шифрануть я должен заранее!
Всем спасибо!

З.Ы. Кстати, а никто не пытался дешифровать пароли?

 

[jeka!]

З.Ы. Кстати, а никто не пытался дешифровать пароли?
md5?
Вся и прелесть в том, что обратного пути нету...

 

[voland]

Я конечно далек от шифрования, но если все это шифруеться по какому-то ключу, то возможен и обратный процесс! Ведь шифрует-то он одинаково!

 

[jeka!]

Ну а ты попробуй, а вось и получиться

 

[SergioM]

Не, не получиться, как не старайся
Для того "хеш" и придумали, это необратимое преобразование, и ключа никакого нет, есть модульная арифметика...

 

[Crazy]

Ответ неверный. Верный ответ: восстановить исходный пароль можно. Перебором. Потребные для этого ресурсы в большинстве случаев делают задачу бессмысленной.

 

[tony2001]

>Верный ответ: восстановить исходный пароль можно. Перебором.
НАЙТИ.
но не восстановить из хэша.

 

[Alkinoy]

Это примерно как функция возведения в квадрат. Ты например имеешь 4. Она может быть получена как 2**2 , так и -2**2. Т.е. из четверки вернуться назад ну просто невозможно.
Пример примитивный, но главное понять суть. При обратном разложении хэшированного пароля получается неопределенность...

 

[leosha]

http://mdcrack.df.ru/index2.html

 

[Alkinoy]

неприятный такой сайт.... Куча черного текста на темно синем фоне. Ну и что, что подбирался пароль. Они просто перебирали все значения, хешили их и все. НО это ж когда знаешь, что надо получить!!!! А если после каждого сгенеренного пароля лезть на сервер и проверять... У меня б уже предупреждалка бы сработала, если много неудачных обращений с одного адреса... Да и время на запросы скока тратиться.... Не, по моему это все фигня.

 

[Crazy]

Alkinoy, если говорят о ДЕШИФРАЦИИ, то это априори означает, что сам зашифрованный текст у нас уже есть.

Если нет, то это называется уже взлом, а не дешфирация.

 

[Alkinoy]

Я думаю, автора топика интересовала возможность ИМЕННО ВЗЛОМА, т.к. дешифрация нужна, наверное, только в случае потери клиентом пароля. Но проще новый дать...

 

[SergioM]

А так же "дешифрация" - это когда ключ у нас тоже есть
А если нет ключа, то это тоже взлом...

 

[leosha]

>Они просто перебирали все значения, хешили их и все.
А кто-то утверждал обратное? На самом деле "просто перебирали" - это нифига не просто. =)
md5 даже разрабатывался с учетом того, чтобы работало МЕДЛЕННО...

 

[SergioM]

2leosha: "На самом деле "просто перебирали" - это нифига не просто."... Ты хочешь сказать что они перебирали по какому-то закону?