Хеширование пароля с помощью md5 и соли

🔥Мы профессиональная команда, которая на рынке работает уже более 5 лет.

У нас лучший товар, который вы когда-либо пробовали!

______________

✅ ️Наши контакты (Telegram):✅ ️

>>>НАПИСАТЬ ОПЕРАТОРУ В ТЕЛЕГРАМ (ЖМИ СЮДА)<<<

✅ ️ ▲ ✅ ▲ ️✅ ▲ ️✅ ▲ ️✅ ▲ ✅ ️

_______________

ВНИМАНИЕ! ВАЖНО!🔥🔥🔥

В Телеграм переходить только по ССЫЛКЕ что ВЫШЕ, в поиске НАС НЕТ там только фейки !!!

_______________

Хеширование пароля с помощью md5 и соли

хеширование md5 используя пароль как соль? – 6 Ответов

Хеширование пароля с помощью md5 и соли

Как сделать реагент для курительной смеси

Купить Гашиш, Бошки в Тамбове

Хеширование пароля с помощью md5 и соли

Закладки экстази (МДМА) Дар-эс-Салам

В настоящее время говорят, что MD5 частично небезопасен. Учитывая это, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос, является ли «двойное хеширование» паролем менее безопасным, чем однократное хеширование? Я использую PHP. Я хочу безопасную и быструю систему шифрования паролей. Хеширование пароля в миллион раз может быть безопаснее, но и медленнее. Как добиться хорошего баланса между скоростью и безопасностью? Кроме того, я бы предпочел, чтобы результат имел постоянное количество символов. Кроме того, я должен хранить два поля в базе данных например, одно с использованием MD5, а другое с использованием SHA? Будет ли это сделать это безопаснее или небезопаснее? В случае, если я не был достаточно ясен, я хочу знать, какую функцию ы хеширования использовать и как выбрать хорошую соль для обеспечения безопасного и быстрого механизма защиты паролем. Цель хеширования паролей проста: предотвратить злонамеренный доступ к учетным записям пользователей путем взлома базы данных. Таким образом, цель хеширования паролей состоит в том, чтобы удержать хакеров или взломщиков, затратив им слишком много времени или денег для вычисления паролей в виде простого текста. Еще одна причина, по которой вам нужен хороший и надежный хэш для учетных записей пользователей, - это предоставление вам достаточно времени для изменения всех паролей в системе. Если ваша база данных взломана, вам потребуется достаточно времени, чтобы хотя бы заблокировать систему, если не поменять каждый пароль в базе данных. Джеремия Гроссман, технический директор Whitehat Security, заявил в блоге White Hat Security после недавнего восстановления пароля, которое требовало взлома его защиты паролем:. Интересно, что, живя в этом кошмаре, я узнал много, чего не знал о взломе паролей, хранении и сложности. Я понял, почему хранение паролей намного важнее, чем сложность пароля. Если вы не знаете, как хранится ваш пароль, то все, от чего вы действительно можете зависеть - это сложность. Это может быть общеизвестно для паролей и крипто-профессионалов, но для среднего специалиста по InfoSec или веб-безопасности я в этом сильно сомневаюсь. Не то чтобы я полностью разделяю точку зрения Рэндалла. Короче говоря, энтропия - это то, насколько сильно варьируется пароль. Когда пароль состоит только из строчных латинских букв, это всего 26 символов. Это не большая вариация. Буквенно-цифровые пароли лучше, с 36 символами. Но допускается верхний и нижний регистр, с символами, примерно 96 символов. Это намного лучше, чем просто буквы. Одна проблема состоит в том, чтобы сделать наши пароли запоминающимися, мы вставляем шаблоны, что уменьшает энтропию. К сожалению! Энтропия пароля легко аппроксимируется. Использование полного диапазона символов ascii примерно 96 набираемых символов дает энтропию 6,6 на символ, что при 8 символах для пароля все еще слишком мало 52, бит энтропии для будущей безопасности. Но есть и хорошие новости: более длинные пароли и пароли с символами Юникода действительно увеличивают энтропию пароля и усложняют его взлом. На сайте Crypto StackExchange обсуждается вопрос об энтропии паролей. Хороший поиск в Google также даст много результатов. В комментариях я говорил с popnoodles, который указал, что применение политики паролей длиной X с множеством букв, цифр, символов и т. Может реально уменьшить энтропию, сделав схему паролей более предсказуемой. Я согласен. Randomess, как можно более случайный, всегда является самым безопасным, но наименее запоминающимся решением. Насколько я могу судить, лучший пароль в мире - это Catch Ни один пароль не достаточно хорош для наших целей, поэтому мы должны защищать их, как будто они были в форте Нокс. Bcrypt и scrypt являются текущими лучшими практиками. Но все же будущее алгоритма выглядит многообещающим. Если вы работаете с Ruby , вам поможет Scrypt Gem , и теперь у Node. Я настоятельно рекомендую прочитать документацию по функции crypt, если вы хотите понять, как использовать bcrypt, или найти себе хорошую обертку, или использовать что-то вроде PHPASS для более унаследованной реализации. Я рекомендую минимум 12 раундов bcrypt, если не Я передумал об использовании bcrypt, когда узнал, что bcrypt использует только расписание ключевых слов blowfish с механизмом переменных затрат. Последнее позволяет увеличить стоимость взлома пароля путем увеличения и без того дорогого ключевого расписания blowfish. Я почти не могу представить эту ситуацию больше. Наименьшее число, которое я бы порекомендовал, это раундов. В PHP 5. Хотя большинство из нас придерживаются PHP 5. Вычислительной мощности, необходимой для фактического взлома хешированного пароля, не существует. Единственный способ «взломать» пароль для компьютеров - это воссоздать его и смоделировать алгоритм хеширования, используемый для его защиты. Скорость хэша линейно связана с его способностью к грубому принуждению. Хуже того, большинство алгоритмов хеширования можно легко распараллелить, чтобы они работали еще быстрее. Вот почему такие дорогостоящие схемы, как bcrypt и scrypt, так важны. Вы не можете , возможно , предвидеть все угрозы и пути атак, и поэтому вы должны сделать ваши лучшие усилия , чтобы защитить пользователей фронт. Если вы этого не сделаете, то вы можете даже упустить тот факт, что на вас напали, пока не стало слишком поздно Чтобы избежать этой ситуации, начните действовать параноиком. Атакуйте свое собственное программное обеспечение внутренне и пытайтесь украсть учетные данные пользователя или изменить учетные записи других пользователей или получить доступ к их данным. Если вы не проверяете безопасность своей системы, вы не можете винить никого, кроме себя. Наконец: я не криптограф. Что бы я ни говорил, это моё мнение, но мне кажется, что оно основано на здравом смысле Гораздо более короткий и безопасный ответ - вообще не пишите свой собственный механизм паролей , используйте проверенный и проверенный механизм. У большинства программистов просто нет опыта безопасного написания крипто-связанного кода без использования уязвимостей. Быстрая самопроверка: что такое растяжение пароля и сколько итераций следует использовать? Например, вы можете взломать все 8-символьные пароли Windows за 6 часов, используя 25 графических процессоров, установленных на 5 настольных ПК. Это перебор, т. Перечисление и проверка каждого 8-символьного пароля Windows , включая специальные символы, и не является атакой по словарю. Это было в году, по состоянию на год вы могли использовать меньше графических процессоров или быстрее взломать 25 графических процессоров. Существует также множество радужных атак на пароли Windows, которые выполняются на обычных процессорах и очень быстры. Все это потому, что Windows до сих пор не искажает и не растягивает свои пароли, даже в Windows 10 - не совершайте ту же ошибку, что Microsoft! Я бы не стал хранить хэшированные пароли двумя разными способами, потому что тогда система, по крайней мере, столь же слабая, как и самый слабый из используемых алгоритмов хеширования. Начиная с PHP 5. Какой именно этот алгоритм предназначен для изменения со временем в будущих версиях, так что он всегда будет одним из самых сильных доступных алгоритмов. Увеличение стоимости по умолчанию 10 усложняет хэш-обработку хэша, а также означает, что генерация хэшей и проверка паролей против них будут более трудоемкими для ЦП вашего сервера. Хотя на вопрос был дан ответ, я просто хочу повторить, что соли, используемые для хеширования, должны быть случайными и не похожими на адреса электронной почты, как это было предложено в первом ответе. Недавно у меня была дискуссия о том, являются ли хеши паролей со случайными битами более безопасными, чем хэши с вероятными или известными солями. Давайте посмотрим: если система, хранящая пароль, скомпрометирована так же, как и система, которая хранит случайную соль, злоумышленник будет иметь доступ как к хешу, так и к соли, поэтому не имеет значения, является ли соль случайной или нет. Атакующий может генерировать предварительно вычисленные радужные таблицы, чтобы взломать хеш. Здесь возникает интересная часть - это не так тривиально генерировать предварительно вычисленные таблицы. Давайте рассмотрим пример модели безопасности WPA. Ваш пароль WPA фактически никогда не отправляется беспроводной точке доступа. Очень хорошее объяснение того, как это работает, здесь. Чтобы восстановить пароль из хэша, вам нужно будет знать как пароль, так и соль имя сети. Church of Wifi уже предварительно вычислил хеш-таблицы, которые имеют лучших SSID и около 1 миллиона паролей. Размер всех таблиц составляет около 40 ГБ. Как вы можете прочитать на их сайте, кто-то использовал 15 массивов FGPA в течение 3 дней для генерации этих таблиц. Если жертва использует SSID в качестве «acsf3» и пароль в качестве «», будут ли они взломаны этими таблицами? Даже если пароль слабый, в таблицах нет хэшей для SSID acsf3. Это красота наличия случайной соли. Это будет сдерживать взломщиков, которые процветают на предварительно вычисленных столах. Может ли это остановить решительного хакера? Возможно нет. Но использование случайных солей обеспечивает дополнительный уровень защиты. Пока мы на эту тему, давайте обсудим дополнительное преимущество хранения случайных солей в отдельной системе. Сценарий 1: хеши паролей хранятся в системе X, а значения соли, используемые для хеширования, хранятся в системе Y. Эти солт-значения являются предположительными или известными например, имя пользователя. Сценарий 2: хеши паролей хранятся в системе X, а значения соли используются для хеширование хранится в системе Y. Эти значения соли являются случайными. Атакующий должен будет угадать дополнительные значения, чтобы иметь возможность взломать хэши. Хеши паролей хранятся в системе X, а значения солей, используемые для хеширования, хранятся в системе Y. Эти солт-значения являются предположительными или известными например, имя пользователя Сценарий 2: Хеши паролей хранятся в системе X, а значения солей, используемых для хэширования Система Y. Я просто хочу отметить, что PHP 5. Этот API значительно упрощает задачу хеширования, проверки и перефразирования хэшей паролей. Автор также выпустил пакет совместимости в виде одного файла password. Он также обрабатывает создание «безопасной» соли, если вы явно не определяете свою собственную. Я оставлю этот ответ здесь, так как я думаю, что он предоставляет немного больше информации о том, как он работает, и простоту его использования для тех, кто не знает безопасности. Смотрите также Н. По умолчанию в нем используется самое надежное из доступных шифрований, которое реализовано в Phpass, который применяется bcrypt к другим шифрованию вплоть до MD5 и обеспечивает обратную совместимость с такими платформами, как Wordpress. Возвращенный хеш может быть сохранен в базе данных как есть. Пример использования для генерации хэша:. Много было сказано о шифровании паролей для PHP, большинство из которых - очень полезный совет, но прежде чем вы даже начнете процесс использования PHP для шифрования паролей, убедитесь, что у вас есть следующее или готово к реализации. Независимо от того, насколько хорошо ваше шифрование, если вы не обеспечите надлежащую защиту сервера, на котором работает PHP и БД, все ваши усилия бесполезны. Большинство серверов работают относительно одинаково, им назначены порты, позволяющие вам получить к ним удаленный доступ либо через ftp, либо через оболочку. Убедитесь, что вы изменили порт по умолчанию для любого удаленного подключения, которое вы используете. Не делая этого, вы фактически заставили злоумышленника сделать на один шаг меньше доступа к вашей системе. Для всего, что хорошо в мире, не используйте имя пользователя admin, root или что-то подобное. Также, если вы работаете в системе на основе Unix, НЕ делайте доступной учетную запись root, это всегда должно быть только sudo. Вы говорите своим пользователям делать хорошие пароли, чтобы избежать взлома, делайте то же самое. Какой смысл проходить через все усилия по запиранию входной двери, когда задняя дверь широко открыта. В идеале вы хотите, чтобы ваша БД и приложение на отдельных серверах. Это не всегда возможно из-за стоимости, но это обеспечивает некоторую безопасность, поскольку злоумышленнику придется пройти два шага, чтобы полностью получить доступ к системе. У вашего приложения всегда должна быть своя учетная запись для доступа к БД, и вы должны предоставлять ей только те привилегии, которые ему необходимы. Затем создайте для вас отдельную учетную запись пользователя, которая не хранится нигде на сервере, даже в приложении. Следуйте тем же правилам, что и для всех хороших паролей. Это означает, что даже если злоумышленник получит доступ к БД, он не знает, что на самом деле представляет собой пароль, а только его результирующий хеш. Что означает больше безопасности для ваших пользователей в худшем из возможных сценариев. Когда ключом является скорость хэширования, чем медленнее, тем больше устойчивость к атакам грубой силы. Одна из наиболее распространенных ошибок в хешировании заключается в том, что хеши не являются уникальными для пользователей. Это главным образом потому, что соли не генерируются однозначно. Пароли всегда должны быть засолены перед хэшированием. Соление добавляет к паролю случайную строку, поэтому похожие пароли в БД не выглядят одинаково. Однако, если соль не уникальна для каждого пользователя например, вы используете жестко закодированную соль , то вы в значительной степени сделали свою соль бесполезной. Потому что, как только злоумышленник узнает одну соль пароля, он найдет соль для всех них. Когда вы создаете соль, убедитесь, что она уникальна для пароля, который она солит, а затем сохраните заполненный хеш и соль в вашей БД. Это сделает так, чтобы злоумышленник должен был по отдельности взломать каждую соль и хеш, прежде чем они смогут получить доступ. Это означает, что для злоумышленника нужно гораздо больше времени и работы. Если пользователь создает пароль через интерфейс, это означает, что он должен быть отправлен на сервер. Это открывает проблему безопасности, потому что это означает, что незашифрованный пароль отправляется на сервер, и если злоумышленник может прослушать и получить доступ, что вся ваша безопасность в PHP бесполезна. Также заставьте пользователя создать безопасный пароль, это просто и всегда должно быть сделано, пользователь будет благодарен за это в конце. Но выполнение этих шагов сделает ваш сайт более безопасным и намного менее желательным для атакующих. Вы обязательно должны использовать соль. Я бы порекомендовал использовать случайные байты и не ограничиваться символами и цифрами. Как обычно, чем дольше вы выбираете, тем безопаснее, тем медленнее становится. В конце концов, двойное хеширование математически не дает никакой пользы. Однако на практике это полезно для предотвращения атак на основе радужных таблиц. Другими словами, это не более выгодно, чем хеширование с солью, которое занимает гораздо меньше процессорного времени в вашем приложении или на вашем сервере. Я обычно использую SHA1 и соль с идентификатором пользователя или другой информацией, специфичной для пользователя , а иногда я дополнительно использую постоянную соль поэтому у меня есть 2 части соли. SHA1 теперь также считается несколько скомпрометированным, но в гораздо меньшей степени, чем MD5. Используя соль любую соль , вы предотвращаете использование универсальной радужной таблицы для атаки на ваши хэши некоторые люди даже добились успеха, используя Google как своего рода радужную таблицу при поиске хеша. Злоумышленник может сгенерировать радужную таблицу, используя вашу соль, поэтому вы должны добавить соль, специфичную для пользователя. Таким образом, им придется создавать радужную таблицу для каждой записи в вашей системе, а не только для всей вашей системы! При таком типе посола даже MD5 прилично безопасен. SHA1 и соли должно хватить в зависимости, естественно, от того, кодируете ли вы что-нибудь для Fort Knox или систему входа в список покупок в обозримом будущем. Идея соли заключается в том, чтобы вывести из равновесия результаты хеширования. Например, известно, что MD5-хэш пустой строки имеет вид d41d8cd98f00beecfe. Итак, если кто-то с достаточно хорошей памятью увидит этот хэш и узнает, что это хэш пустой строки. Что я пытаюсь сказать, что лучше использовать любую соль, чем не делать этого. Поэтому не так уж важно знать, какую соль использовать. На самом деле, есть сайты, которые делают именно это - вы можете передать ему хэш md5 , и он выплевывает известный открытый текст, который генерирует этот конкретный хеш. Если бы вы получили доступ к базе данных, в которой хранятся простые md5-хэши, для вас было бы тривиально ввести хеш для администратора для такой службы и войти в систему. Но если бы пароли были засолены, такая служба стала бы неэффективны. Кроме того, двойное хеширование обычно считается плохим методом, потому что оно уменьшает пространство результата. Все популярные хэши имеют фиксированную длину. Таким образом, вы можете иметь только конечные значения этой фиксированной длины, и результаты станут менее разнообразными. Это можно рассматривать как еще одну форму посола, но я бы не рекомендовал это. PS За последние 2 шага вы можете использовать свой собственный алгоритм Безопасный хэш и соль для паролей PHP Механизм хеширования должен быть доступен в PHP Это должно быть безопасно Он может использовать соль в этом случае все соли одинаково хороши? Есть ли способ получить хорошие соли? Md5 теперь совершенно небезопасен. NSAwesomeGuy Это зависит от того, для чего вы его используете. Конечно, несложно сопоставить или просто перебрать несоленые пароли MD5, но при достойном посолении создать радугу для быстрого взлома наборов паролей крайне непрактично, а перебор абсолютно бесполезен. Теория ответа все еще хорошо читается. Только идиоты делают это. Не ограничивайте длину пароля. Если ваши пользователи хотят получить предложение с суперкалифрагистическим выражением, не запрещающее им использовать его. Не удаляйте HTML-код и специальные символы в пароле. Никогда не храните пароль своего пользователя в виде обычного текста. Никогда не отправляйте пароль пользователю по электронной почте, за исключением случаев, когда он потерял свой, и вы отправили временный пароль. Никогда, никогда не регистрируйте пароли каким-либо образом. Современные взломщики могут превышать 60 и миллиардов хэшей в секунду соответственно. ДОС Используйте Scrypt, когда можете; bcrypt если не можешь. Сбросьте все пароли, когда база данных взломана. Реализуйте разумную минимальную длину символов, плюс требуйте как минимум 1 заглавную букву, 1 строчную букву, число и символ. Это улучшит энтропию пароля, что, в свою очередь, усложнит его взлом. Раздел «Что делает хороший пароль? Зачем хешировать пароли? Джеремия Гроссман, технический директор Whitehat Security, заявил в блоге White Hat Security после недавнего восстановления пароля, которое требовало взлома его защиты паролем: Интересно, что, живя в этом кошмаре, я узнал много, чего не знал о взломе паролей, хранении и сложности. Акцент мой. Что делает хороший пароль в любом случае? Лучшие практики Bcrypt и scrypt являются текущими лучшими практиками. Средние практики Я почти не могу представить эту ситуацию больше. Что тогда? Будущие практики В PHP 5. Криптография: обзор и отказ от ответственности Вычислительной мощности, необходимой для фактического взлома хешированного пароля, не существует. Поскольку большинство паролей являются словарными словами или производными от словаря, атака на основе словаря обычно очень эффективна следовательно, используется политика паролей и количество итераций. Просто указываю, насколько сложна и сложна эта область нашей работы. Я продолжаю надеяться, что меня научит лучшая, самая умная, лучшая практика по настройке системы управления контентом небольшого веб-сайта. Я все еще учусь здесь. Интересная ревизия. Или, поскольку это не случайно, это не хорошо? Кроме того, мне придется хранить одноразовые номера для каждого пользователя в базе данных Точно так же многократно повторяется HMAC для безопасности? Отправка временного пароля по электронной почте, который требует, чтобы пользователь изменил его при первом использовании, и отправка «безопасной» ссылки по электронной почте, которая позволяет ему установить свой пароль, в равной степени рискованны. В любом случае любой, кто перехватывает электронную почту, может получить доступ к учетной записи, если он использует ссылку или пароль до того, как это сделает предполагаемый получатель. PHP 5. Такие библиотеки, как phpass, написаны экспертами и подробно рассмотрены многими людьми - тот факт, что они хорошо известны, сопровождается подробным обзором разных людей и, скорее всего, означает, что они безопасны. Учитывая недавние пароли из LinkedIn, Last. Вы в хорошей компании, не зная, как написать собственный механизм паролей! PP - на мой взгляд, вероятность того, что алгоритм хэширования паролей, проверенный экспертами, имеет бэкдор АНБ, очень мала. Вероятность того, что кто-то не является настоящим крипто-экспертом, напишет новый механизм хеширования паролей без других уязвимостей, намного ниже. Использование двух хешей ослабляет систему в случае пароля, поскольку им нужно только сломать более слабый хеш. Даже если злоумышленник получит соль, строка 'sitesalt: usersalt: password' по-прежнему устойчива к предварительно вычисленным таблицам, поскольку злоумышленнику необходимо генерировать таблицы для каждого пользователя поэтому атака становится намного медленнее , если, конечно, не конкретный пользователь ставится целью Что касается «Даже если злоумышленник получит соль, строка« sitesalt: usersalt: password »все еще устойчива к предварительно вычисленным таблицам», я полностью согласен. Моя точка зрения заключается в том, что сайты, если они сделаны случайными и длинными, сделают систему более безопасной, чем она сайты будут предсказуемыми. Я видел, как некоторые люди рекомендуют использовать идентификатор электронной почты и т. Как соль, и я не одобряю это. Вы пропустили то, что я изначально написал. Я сказал использовать случайный одноразовый номер, сохраненный вместе с записью, плюс адрес электронной почты. Добавление адреса электронной почты создает дополнительную энтропию для хакера. С тех пор я переписал свой ответ в пользу bcrypt. USER У вашего приложения всегда должна быть своя учетная запись для доступа к БД, и вы должны предоставлять ей только те привилегии, которые ему необходимы. Как всегда, НЕ делайте этот корень или что-то подобное. Вы должны исключить SHA из списка достойных алгоритмов хеширования, потому что он слишком быстрый. В то время как BCrypt основан на blowfish, сам blowfish представляет собой алгоритм шифрования, а не хеширования. Как вы храните случайную соль в БД? Я думаю, что вы не хешируете не можете использовать для проверки и не храните в открытом виде никаких реальных преимуществ, если злоумышленник может прочитать БД. Итак, как ты это делаешь? Это не имеет смысла для меня. Хеши в БД уже будут выглядеть непохожими, потому что это свойство хеш-функций. В отношении постоянной соли wmfancia писал: «Как только злоумышленник выяснит одну соль пароля, у него будет соль для всех». То же самое можно сказать, что если хакер выяснит, какое поле БД является солью, у него есть соли для всех из них. Поскольку постоянная соль, вероятно, не будет в БД, это хорошая вещь о постоянной соли. Конечно, эти комментарии не означают, что случайная соль на пользователя не лучше, чем одна соль на приложение. Это лучше. Konerak, я вернусь к этому через 20 лет. Если вы хотите узнать, насколько безопасен SHA, вы можете проверить это: security. Промышленные хеши паролей используют более раундов. Higher is better, but slower. Recommended: At least Hex encoded otherwise. Вы даете нам решение без использования без использования. MD5 и SHA1 быстрые, так что это плохая смерть. Целевой сайт не должен содержать ничего слишком чувствительного это не банк , но все же я бы предпочел обеспечить его безопасность. Деградация линейная, но это все еще проблема. Но это все еще не хорошо Этот вопрос был о хешах для паролей. Вы понятия не имеете, что делаете. Прочтите ответы в этом посте, и вы поймете, почему ваш код не просто небезопасен, но и не имеет смысла. Я знаю, что sha является лучшим, почему бы не использовать его??? Некоторые люди используют sha в качестве строительного блока для создания функций хеширования паролей, но в настоящее время рекомендуемый подход - это «использовать bcrypt и следить за scrypt». Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности. Licensed under cc by-sa 3.

Газета Кыштымский рабочий

Хеширование пароля с помощью md5 и соли

Отзывы про Скорость (Ск Альфа-ПВП) Маргилане