Соль php
Соль phpСоль php
Рады представить вашему вниманию магазин, который уже удивил своим качеством!
И продолжаем радовать всех!)
Мы - это надежное качество клада, это товар высшей пробы, это дружелюбный оператор!
Такого как у нас не найдете нигде!
Наш оператор всегда на связи, заходите к нам и убедитесь в этом сами!
Наши контакты:
Telegram:
ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!
Храним пароль как есть. Например, если ввели пароль 'fuckoff', то он так и сохранится. Минус в том, что при взломе БД злоумышленник получает все пароли в явном виде. Храним пароль в зашифрованном виде, используя алгоритмы шифрования md5, sha1 и т. При взломе злоумышленник получит зашифрованные пароли и не сможет их расшифровать, т. Но он может методом перебора шифровать различные комбинации символов и, сравнивая полученный хеш с украденным хешом пароля, найти исходный пароль. На первый взгляд кажется невозможным перебрать огромное количество комбинаций. Однако у большинства пользователей пароль представлен цифрами, словарными словами и другими простыми комбинациями символов. Поэтому задача упрощается особенно, если пароль представлен цифрами. Кроме того, существуют сервисы, которые хранят терабайты хешей паролей Rainbow tables. Взлом пароля 'loveyou' занимает сотые доли секунды. Храним пароль в зашифрованном виде, но добавляя несколько случайных символов, уникальных для каждого пользователя так называемая соль. А еще лучше хранить двойной md5 с солью. Взломать такой вышеупомянутым способом практически невозможно. В таблице user нам потребуется два поля: Необходимо в скрипте регистрации генерировать соль для каждого нового пользователя. Для этого можно воспользоваться следующей функцией. Спасибо большое, из статьи понял как в принципе хранить пароли, и согласен, что третий способ лучше Буду теперь заглядывать к Вам почаще А ничего, что CRC32 32 битный и является алгоритмом подсчета контрольной суммы, а md5 битный алгоритм хеширования? Я использую такой метод: Хотелось бы услышать мнение автора на этот счет. Соль можно по-разному добывать. Если юзер забл пароль то генерируется 'временный' пароль который ему сообщается для входа в систему, а после входа сразу же предлогается изменить пароль Я просто смотрел, что мне некоторые сайты кладут в куки и там иногда лежало что-то уж совсем на мой пароль непохожее. В куках лучше вообще ничего не хранить кроме id сессии. В Контакте хранил пароли в куках md5 пароль - самое папулярное шифрование паролей на сайтах. С первого взгляда пароль вроде шифрован, но на самом деле каждый второй взламывается http: А ведь правда, если вы хотите защититься от взлома в случае получения взломщиком доступа к базе, то почему оставляете соль в открытом виде возле пароля? Это можно понять только если используется какой-то хитрый алгоритм ее взаимодействия с паролем, но в статье приведены только самые простые примеры. Без соли проблема в том, что все не слишком длинные пароли уже прохешированы gdataonline. С солью последнему хешированию подвергается довольно специфичная уже запись, которую так уже не найти ибо их не триллионы, а числа, на несколько порядков выше. Ну да сложнее подобрать и так далее Я предлагаю и сам уже давно пользуюсь следующий метод Ровно такая же, как и без ваших 'стоканий'. Вероятность коллизий уменьшается только при увеличении длины хэша, а длина самого пароля ей полностью пофиг, так как теоретически в один и тот же хэш может сложиться и фраза в 1 символ, и фраза в символов. Ну да, и хранить на сервере все сессии за год, отлично придумано: К тому же, я не вижу абсолютно никакой разницы, хранить в куках хэшированный пароль или id сессии - при краже кук любой вариант позволит зайти на сайт. Голый пароль в куках хранить опасно, да. Но между id сессии и хэшированным паролем разницы не вижу. Очень много полезного узнал, а то уже устал думать о защите. Прекрасный вариант с сессией которая привязана к айпи!!! Самому сразу в голову не пришло из-за размытости общей картины. Добавлять по очереди то соль, то воду, то ещё чего, можно до бесконечности Первая проблема - это, короткий, 'не извращённый' и часто состоящий только из цифр пароль пользователя. Взлом заключается в сравнении украденного хеша и хеша из 'радужной таблицы'. Размеры таблицы - не бесконечны. Скажем при переборе всех паролей из 6 символов т. Это не очень много , но и пароль у нас был длиной всего в 6 символов, и именно такие короткие пароли ну или чуть длиннее 9 символов, но тогда генерируются и хранятся хеши паролей по словарю, т. А теперь посчитайте сколько хешей будет при длине пароля в 32 символа. Но заставлять узера вводить и помнить пароль из ух символов, конечно же не реально, поэтому просто-напросто прогоняем реальный пароль узера 2 раза, например функцией md5 ;. После первого прогона мы получаем пароль, при чём не простой, а 'извращённый', и длиной в 32 байта. А при втором прогоне, уже пароля из х символов, получаем новый хеш, который и сохраняем. Теперь, что бы путём перебора определить из имеющегося хеша предыдущий хещ, а за тем по найденому предыдущему хешу - реальный пароль узера, нужна будет, мягко говоря, 'бесконечная' таблица хешей Что мне нужно, что бы 'взломать' выше описанный способ 'хренения' паролей. А главное - что я уже ИМЕЮ для этого? Можно сказать, что у меня уже есть пароль узера!!! А точнее говоря - у меня уже есть все пароли большинства узеров!!! Теперь, что я делаю Я регюсь на взламываемом сайте. Взламываю БД или то место, где хранятся хеши паролей. Зачем мне нужны первые три шага? Для того, чтобы определить, каким образом получают хещ на сайте. Все пароли длиной до 6-и символов у меня 'в кармане'! Просто теперь при поиске 'формулы' получения хеша я добавляю эту соль, при чём всеми возможными вариантами! Ну а далее думаю уже догадываетесь Генерю все хеши добавляя соль УЖЕ в правильное место и используя правильную формулу. НО здесь как видите уже есть один 'худенький' плюсик. Речь уже идёт не о взломе всех паролей, а о взломе одиночного аккаутна, соль то для каждого узера своя, а значит генерировать таблицу придётся для каждого узера заного. А почему плюсик 'худенький'??? Начинаю генерить по словарю используя только цифры большинство паролей - это даты рождения. Обычно на сайте требуют пароль длиной не менее 6-и символов, т. И я из-за каких-то 16 лет Вижу по лицу, уже догадались. Не используйте общеизвестные приёмы, или изменяйте их на свой манер, отпиливайте, приклеивайте, меняйте местами, копируйте, придумывайте что то своё, и т. И вообще, подумайте, а стоит ли овчина выделки?!! Нужна ли вам эта бетонная крепость, или можно и и так прожить в деревянной Даже если вы напишете код, который будет чередовать функции хеширования раз, например в файле 'enter. И тогда хоть ваш код чередует раз, да и всё что угодно, я просто повторю ваш код при генерации таблицы хешей и результат будет тот же, а все ваши старания понапрасну Так что, надёжной защиты нет. Бывает лишь более надёжная защита, и бывает хакер который хитрее Вас, кстати, который не обязательно умнее Вас! Ну причем здесь брутфорс?! Человек пишет про защиту паролей от взлома посредством 'Радужных таблиц'. Которые нужны для взлома там, где брутфорс не помогает, т. А то, что так длинно описывается в предыдущем комменте, можно сформулировать двумя тезисами: По-моему, оба тезиса всем, кто занимается данным вопросом, давно известны. Ведь в таком случае вообще ничто не поможет. Я же сказал - не вижу смысла. Первый абзац - это пересказ замысла автора данной статьи, так, для вступления. Это уже дырка в интерпретаторе, или в Apache, или в Linuxe, или ещё где Хороший метод, сам им пользуюсь, вот только соль в СУБД не храню, а просто существует в скрипте в качестве константы и при необходимости прибавляется скажем к паролю пользователя и только потом шифруется md5, таким образом если украсьть из базы пароли и расшифровать то получаются совсем другие. Можно откомпилировать скрипт в бинарник, который генерит пароль по определенному своему собственному алгоритму - это будет черным ящиком, даже если его сольют с сервака, то долго будут трассировать его дебагером, если бинарник после компиляции еще и зашифровать ;. Я так понял,что собрались здесь в основном системные администраторы Объясните мне человеку не очень сведущему во всём этом. Если мой пароль будет состоять скажем из как минимум двадцати знаков цифры,латинские буквы в разном регистре,спецсимволы и т. Насколько такой такой пароль будет трудно сломать если его хеш будет перехвачен,украден на сайте,на котором я его постоянно ввожу копипастом-не руками? Я все пароли к почтовым ящикам,аське,вэб мани,пай палу,скайпу и прочей билибердени храню в этой проге Сами базы хранятся не на компе,а на флэшке, на зашифрованном разделе прога TrueCrypt. Насколько защищена моя инфа пароли ,если злоумышленник перехватит хеш пароля сорри за повтор? Такой пароль сломать легко или сложно. А то может в нем есть какая нибудь система которую прога для взлома на раз два расколет,а я этого не знаю. С таким подходом к безопасности, конечно, у потенциальных злоумышленников мало шансов против тебя, но. Но существует ряд проблем с такой организацией безопасности. Например, ты говоришь, что в качестве 'мастер-пароля' используешь MD5 хэш файла, хранящегося на твоём компе Я надеюсь, что содержимое этого файла ты знаешь наизусть и сможешь легко воспроизвести при необходимости? Потому что при потере лишь одного этого файла выход из строя жёсткого диска, вирусы, ошибка в работе произвольной программы, случайное удаление - 'человеческий фактор' и ты моментально теряешь доступ ко всем своим паролям на флэшке. А в остальном - да, такой подход - это максимум, что ты можешь сделать для своей безопасности как обычный пользователь. И не забывай про резервное копирование: В среднем лет, но никто не застрахован от форс-мажоров к тому же существует возможность её банально потерять, уронить, утопить и т. А что касается непосредственно темы статьи - то, из всех озвученных в комментариях и самой статье методов, наиболее эффективным вижу использование максимально нестандартного алгоритма хэширования. Обычному программисту, пусть даже и с большим опытом, не будучи экспертом в области криптологии, будет довольно сложно оценить криптоустойчивость произвольного алгоритма. Зато не составит никакого труда придумать максимально запутанный алгоритм хэширования. Просто пример того, что я имею ввиду: В итоге, вы получаете пусть и не самый устойчивый к взломам алгоритм хотя далеко не факт , но! Устойчивость его заключается в скрытости алгоритма. Взломать хэш можно только подбором, других алгоритмов пока не существует. А подобрать коллизию можно только зная алгоритм. И если такой алгоритм, как md5 md5 распознать довольно легко - то алгоритм, который я привёл в качестве примера, распознать будет уже НУ ОЧЕНЬ непросто а если честно, то я считаю, что и вовсе невозможно. В случае же, если злоумышленник смог получить доступ к исходному коду и узнал алгоритм - нас уже мало что спасает. Обычно, в таких случаях, злоумышленник и так уже может исполнять произвольный код и сам алгоритм его наврятли заинтересует. Хотя, надо отдать должное такому подходу - даже получив исходный код реализации 'секретного алгоритма', при достаточной его сложности, злоумышленнику всё равно придётся потратить много времени на то, чтобы 'развернуть' этот алгоритм в обратную сторону. В добавок, если этот алгоритм будет достаточно трудоёмким - скажем, не шагов, как в примере выше, а даже если это будет просто md5 md To 36 'System security should not depend on the secrecy of the implementation or its components. Вы тут рассуждаете об алгоритмах, соли Ну и не могу сдержаться, чтобы не прокомментировать, что двойной хеш 'md5 md5 pass ' намного труднее взломать.. Для поиска исходной строки от второго md5 у нас есть уже все данные: Дочитал до конца статью и все комментарии. Информация в статье не новая и с учётом достаточной в данный момент популярности этого алгоритма - 'соление' не сильно усложняет жизнь взломщику БД. Больше всего я оценил ой пост комментариев asd, Данный товарищ говорит всё правильно. По поводу 'System security should not depend on the secrecy of the implementation or its components. Доброго времени суток всей честной кампании. Присоединяюсь к высказываниям о бесполезности создания алгоритмов защищающих хеши пользователей при доступе к исходному коду. Для себя решил, что не буду использовать хеширование, как матрешку, нагромождая функции друг на друга. На мой взгляд, наиболее выгодно генерировать уникальную соль для каждого пользователя используя определенный алгоритм, опирающийся на его же пользователя информацию. На пример, можно смешивать хеш пароля, символы имени пользователя или добавлять числовой код символов используя тот же ord. Необходимо лишь использовать информацию, которая гарантировано не изменится. В этом случае электронный адрес уже не подойдет. Читаем по символьно хеш и имя пользователя. Находим числовой код определенного символа имени пользователя и определенный символ хеша с помощью ord. С помощью определенных математических операций получаем числовой код нового символа для chr. Намного сложнее, чем определить каким образом он генерируется. Самое главное использовать свои алгоритмы и быть оригинальным. Никто же не кладет ключ от квартиры под коврик А серьезно, чем плох вариант md5 md5 pass или например md5 md5 md5 md5 pass. Всем доброго времени суток. В комментариях опять наткнулся на идею использовать такой вариант md5 md5 md5 md5 pass , только с гораздо большим количеством операций хеширования. Такой вариант может быть эффективен только в том случае, если гарантировано, что хеширование не даст коллизий. Тот же md5 дает коллизии, что пагубно сказывается на таком алгоритме. Если у вас хеширование вложено раз, то достаточно найти 'псевдо-пароль', который даст хеширование которого даст коллизию всего в одном из раз. Смысл в том, что у нас есть еще имя пользователя помимо пароля. И по сути злоумышленнику приходится перебирать не только пароль, а еще и имя пользователя. Зачастую имя уже известно ведь его надо показать в приветствии , значит оно как соль не подходит. В интернете полно готовых решений. Однако существует панацея и от коллизий. Выглядеть будет как обычный 32 символьный хеш. Готовый хеш 32 символа разбивается на блоки из 1-го поля - 2,4,8,16,32; второе число будет соответствовать, заранее определенному, порядку перемешивания. Однако стоит отметить что таким способом лучше шифровать отдельные слова. Иначе впоследствии могут возникнуть проблемы с дешефрацией. Если я в чемто ошибся поправьте меня! Хранение паролей в базе данных В этой статье я расскажу как безопасно хранить пароли в базе данных 1 способ. Взлом пароля 'loveyou' занимает сотые доли секунды 3 способ. Соль можно по-разному добывать djken, С солью последнему хешированию подвергается довольно специфичная уже запись, которую так уже не найти ибо их не триллионы, а числа, на несколько порядков выше Cthulhu, 2. Но это всё была присказка!!! Ломаем метод автора статьи Выполняю первые 3 шага. Теперь, если я взломал БД и получил хеши паролей, то я также и получил каждую 'солинку'!!! И что я делаю??? Да всё тоже самое!!! Так же, даты когда узер пишет что то типа ; 1 января года, т. И что у нас получилось? Ну так и что же делать??? Они для этого и сделаны. Пароль надо шифровать медленной криптохеш-функцией.
Закладки метамфетамин в Армянске
Безопасное хэширование паролей
Хеширование пароля с помощью md5 и соли
«Соленое» хеширование паролей: делаем правильно
что такое salt
Есть ли смысл в соли из хеша пароля?
md5() + соль. Хранение паролей в базе данных
Соль (криптография)
Есть ли смысл в соли из хеша пароля?
Самые аутдорные сорта марихуаны