Соль php

Купить Здесь

Храним пароль как есть. Например, если ввели пароль 'fuckoff', то он так и сохранится. Минус в том, что при взломе БД злоумышленник получает все пароли в явном виде. Храним пароль в зашифрованном виде, используя алгоритмы шифрования md5, sha1 и т. При взломе злоумышленник получит зашифрованные пароли и не сможет их расшифровать, т. Но он может методом перебора шифровать различные комбинации символов и, сравнивая полученный хеш с украденным хешом пароля, найти исходный пароль. На первый взгляд кажется невозможным перебрать огромное количество комбинаций. Однако у большинства пользователей пароль представлен цифрами, словарными словами и другими простыми комбинациями символов. Поэтому задача упрощается особенно, если пароль представлен цифрами. Кроме того, существуют сервисы, которые хранят терабайты хешей паролей Rainbow tables. Взлом пароля 'loveyou' занимает сотые доли секунды. Храним пароль в зашифрованном виде, но добавляя несколько случайных символов, уникальных для каждого пользователя так называемая соль. А еще лучше хранить двойной md5 с солью. Взломать такой вышеупомянутым способом практически невозможно. В таблице user нам потребуется два поля: Необходимо в скрипте регистрации генерировать соль для каждого нового пользователя. Для этого можно воспользоваться следующей функцией. Спасибо большое, из статьи понял как в принципе хранить пароли, и согласен, что третий способ лучше Буду теперь заглядывать к Вам почаще А ничего, что CRC32 32 битный и является алгоритмом подсчета контрольной суммы, а md5 битный алгоритм хеширования? Я использую такой метод: Хотелось бы услышать мнение автора на этот счет. Соль можно по-разному добывать. Если юзер забл пароль то генерируется 'временный' пароль который ему сообщается для входа в систему, а после входа сразу же предлогается изменить пароль Я просто смотрел, что мне некоторые сайты кладут в куки и там иногда лежало что-то уж совсем на мой пароль непохожее. В куках лучше вообще ничего не хранить кроме id сессии. В Контакте хранил пароли в куках md5 пароль - самое папулярное шифрование паролей на сайтах. С первого взгляда пароль вроде шифрован, но на самом деле каждый второй взламывается http: А ведь правда, если вы хотите защититься от взлома в случае получения взломщиком доступа к базе, то почему оставляете соль в открытом виде возле пароля? Это можно понять только если используется какой-то хитрый алгоритм ее взаимодействия с паролем, но в статье приведены только самые простые примеры. Без соли проблема в том, что все не слишком длинные пароли уже прохешированы gdataonline. С солью последнему хешированию подвергается довольно специфичная уже запись, которую так уже не найти ибо их не триллионы, а числа, на несколько порядков выше. Ну да сложнее подобрать и так далее Я предлагаю и сам уже давно пользуюсь следующий метод Ровно такая же, как и без ваших 'стоканий'. Вероятность коллизий уменьшается только при увеличении длины хэша, а длина самого пароля ей полностью пофиг, так как теоретически в один и тот же хэш может сложиться и фраза в 1 символ, и фраза в символов. Ну да, и хранить на сервере все сессии за год, отлично придумано: К тому же, я не вижу абсолютно никакой разницы, хранить в куках хэшированный пароль или id сессии - при краже кук любой вариант позволит зайти на сайт. Голый пароль в куках хранить опасно, да. Но между id сессии и хэшированным паролем разницы не вижу. Очень много полезного узнал, а то уже устал думать о защите. Прекрасный вариант с сессией которая привязана к айпи!!! Самому сразу в голову не пришло из-за размытости общей картины. Добавлять по очереди то соль, то воду, то ещё чего, можно до бесконечности Первая проблема - это, короткий, 'не извращённый' и часто состоящий только из цифр пароль пользователя. Взлом заключается в сравнении украденного хеша и хеша из 'радужной таблицы'. Размеры таблицы - не бесконечны. Скажем при переборе всех паролей из 6 символов т. Это не очень много , но и пароль у нас был длиной всего в 6 символов, и именно такие короткие пароли ну или чуть длиннее 9 символов, но тогда генерируются и хранятся хеши паролей по словарю, т. А теперь посчитайте сколько хешей будет при длине пароля в 32 символа. Но заставлять узера вводить и помнить пароль из ух символов, конечно же не реально, поэтому просто-напросто прогоняем реальный пароль узера 2 раза, например функцией md5 ;. После первого прогона мы получаем пароль, при чём не простой, а 'извращённый', и длиной в 32 байта. А при втором прогоне, уже пароля из х символов, получаем новый хеш, который и сохраняем. Теперь, что бы путём перебора определить из имеющегося хеша предыдущий хещ, а за тем по найденому предыдущему хешу - реальный пароль узера, нужна будет, мягко говоря, 'бесконечная' таблица хешей Что мне нужно, что бы 'взломать' выше описанный способ 'хренения' паролей. А главное - что я уже ИМЕЮ для этого? Можно сказать, что у меня уже есть пароль узера!!! А точнее говоря - у меня уже есть все пароли большинства узеров!!! Теперь, что я делаю Я регюсь на взламываемом сайте. Взламываю БД или то место, где хранятся хеши паролей. Зачем мне нужны первые три шага? Для того, чтобы определить, каким образом получают хещ на сайте. Все пароли длиной до 6-и символов у меня 'в кармане'! Просто теперь при поиске 'формулы' получения хеша я добавляю эту соль, при чём всеми возможными вариантами! Ну а далее думаю уже догадываетесь Генерю все хеши добавляя соль УЖЕ в правильное место и используя правильную формулу. НО здесь как видите уже есть один 'худенький' плюсик. Речь уже идёт не о взломе всех паролей, а о взломе одиночного аккаутна, соль то для каждого узера своя, а значит генерировать таблицу придётся для каждого узера заного. А почему плюсик 'худенький'??? Начинаю генерить по словарю используя только цифры большинство паролей - это даты рождения. Обычно на сайте требуют пароль длиной не менее 6-и символов, т. И я из-за каких-то 16 лет Вижу по лицу, уже догадались. Не используйте общеизвестные приёмы, или изменяйте их на свой манер, отпиливайте, приклеивайте, меняйте местами, копируйте, придумывайте что то своё, и т. И вообще, подумайте, а стоит ли овчина выделки?!! Нужна ли вам эта бетонная крепость, или можно и и так прожить в деревянной Даже если вы напишете код, который будет чередовать функции хеширования раз, например в файле 'enter. И тогда хоть ваш код чередует раз, да и всё что угодно, я просто повторю ваш код при генерации таблицы хешей и результат будет тот же, а все ваши старания понапрасну Так что, надёжной защиты нет. Бывает лишь более надёжная защита, и бывает хакер который хитрее Вас, кстати, который не обязательно умнее Вас! Ну причем здесь брутфорс?! Человек пишет про защиту паролей от взлома посредством 'Радужных таблиц'. Которые нужны для взлома там, где брутфорс не помогает, т. А то, что так длинно описывается в предыдущем комменте, можно сформулировать двумя тезисами: По-моему, оба тезиса всем, кто занимается данным вопросом, давно известны. Ведь в таком случае вообще ничто не поможет. Я же сказал - не вижу смысла. Первый абзац - это пересказ замысла автора данной статьи, так, для вступления. Это уже дырка в интерпретаторе, или в Apache, или в Linuxe, или ещё где Хороший метод, сам им пользуюсь, вот только соль в СУБД не храню, а просто существует в скрипте в качестве константы и при необходимости прибавляется скажем к паролю пользователя и только потом шифруется md5, таким образом если украсьть из базы пароли и расшифровать то получаются совсем другие. Можно откомпилировать скрипт в бинарник, который генерит пароль по определенному своему собственному алгоритму - это будет черным ящиком, даже если его сольют с сервака, то долго будут трассировать его дебагером, если бинарник после компиляции еще и зашифровать ;. Я так понял,что собрались здесь в основном системные администраторы Объясните мне человеку не очень сведущему во всём этом. Если мой пароль будет состоять скажем из как минимум двадцати знаков цифры,латинские буквы в разном регистре,спецсимволы и т. Насколько такой такой пароль будет трудно сломать если его хеш будет перехвачен,украден на сайте,на котором я его постоянно ввожу копипастом-не руками? Я все пароли к почтовым ящикам,аське,вэб мани,пай палу,скайпу и прочей билибердени храню в этой проге Сами базы хранятся не на компе,а на флэшке, на зашифрованном разделе прога TrueCrypt. Насколько защищена моя инфа пароли ,если злоумышленник перехватит хеш пароля сорри за повтор? Такой пароль сломать легко или сложно. А то может в нем есть какая нибудь система которую прога для взлома на раз два расколет,а я этого не знаю. С таким подходом к безопасности, конечно, у потенциальных злоумышленников мало шансов против тебя, но. Но существует ряд проблем с такой организацией безопасности. Например, ты говоришь, что в качестве 'мастер-пароля' используешь MD5 хэш файла, хранящегося на твоём компе Я надеюсь, что содержимое этого файла ты знаешь наизусть и сможешь легко воспроизвести при необходимости? Потому что при потере лишь одного этого файла выход из строя жёсткого диска, вирусы, ошибка в работе произвольной программы, случайное удаление - 'человеческий фактор' и ты моментально теряешь доступ ко всем своим паролям на флэшке. А в остальном - да, такой подход - это максимум, что ты можешь сделать для своей безопасности как обычный пользователь. И не забывай про резервное копирование: В среднем лет, но никто не застрахован от форс-мажоров к тому же существует возможность её банально потерять, уронить, утопить и т. А что касается непосредственно темы статьи - то, из всех озвученных в комментариях и самой статье методов, наиболее эффективным вижу использование максимально нестандартного алгоритма хэширования. Обычному программисту, пусть даже и с большим опытом, не будучи экспертом в области криптологии, будет довольно сложно оценить криптоустойчивость произвольного алгоритма. Зато не составит никакого труда придумать максимально запутанный алгоритм хэширования. Просто пример того, что я имею ввиду: В итоге, вы получаете пусть и не самый устойчивый к взломам алгоритм хотя далеко не факт , но! Устойчивость его заключается в скрытости алгоритма. Взломать хэш можно только подбором, других алгоритмов пока не существует. А подобрать коллизию можно только зная алгоритм. И если такой алгоритм, как md5 md5 распознать довольно легко - то алгоритм, который я привёл в качестве примера, распознать будет уже НУ ОЧЕНЬ непросто а если честно, то я считаю, что и вовсе невозможно. В случае же, если злоумышленник смог получить доступ к исходному коду и узнал алгоритм - нас уже мало что спасает. Обычно, в таких случаях, злоумышленник и так уже может исполнять произвольный код и сам алгоритм его наврятли заинтересует. Хотя, надо отдать должное такому подходу - даже получив исходный код реализации 'секретного алгоритма', при достаточной его сложности, злоумышленнику всё равно придётся потратить много времени на то, чтобы 'развернуть' этот алгоритм в обратную сторону. В добавок, если этот алгоритм будет достаточно трудоёмким - скажем, не шагов, как в примере выше, а даже если это будет просто md5 md To 36 'System security should not depend on the secrecy of the implementation or its components. Вы тут рассуждаете об алгоритмах, соли Ну и не могу сдержаться, чтобы не прокомментировать, что двойной хеш 'md5 md5 pass ' намного труднее взломать.. Для поиска исходной строки от второго md5 у нас есть уже все данные: Дочитал до конца статью и все комментарии. Информация в статье не новая и с учётом достаточной в данный момент популярности этого алгоритма - 'соление' не сильно усложняет жизнь взломщику БД. Больше всего я оценил ой пост комментариев asd, Данный товарищ говорит всё правильно. По поводу 'System security should not depend on the secrecy of the implementation or its components. Доброго времени суток всей честной кампании. Присоединяюсь к высказываниям о бесполезности создания алгоритмов защищающих хеши пользователей при доступе к исходному коду. Для себя решил, что не буду использовать хеширование, как матрешку, нагромождая функции друг на друга. На мой взгляд, наиболее выгодно генерировать уникальную соль для каждого пользователя используя определенный алгоритм, опирающийся на его же пользователя информацию. На пример, можно смешивать хеш пароля, символы имени пользователя или добавлять числовой код символов используя тот же ord. Необходимо лишь использовать информацию, которая гарантировано не изменится. В этом случае электронный адрес уже не подойдет. Читаем по символьно хеш и имя пользователя. Находим числовой код определенного символа имени пользователя и определенный символ хеша с помощью ord. С помощью определенных математических операций получаем числовой код нового символа для chr. Намного сложнее, чем определить каким образом он генерируется. Самое главное использовать свои алгоритмы и быть оригинальным. Никто же не кладет ключ от квартиры под коврик А серьезно, чем плох вариант md5 md5 pass или например md5 md5 md5 md5 pass. Всем доброго времени суток. В комментариях опять наткнулся на идею использовать такой вариант md5 md5 md5 md5 pass , только с гораздо большим количеством операций хеширования. Такой вариант может быть эффективен только в том случае, если гарантировано, что хеширование не даст коллизий. Тот же md5 дает коллизии, что пагубно сказывается на таком алгоритме. Если у вас хеширование вложено раз, то достаточно найти 'псевдо-пароль', который даст хеширование которого даст коллизию всего в одном из раз. Смысл в том, что у нас есть еще имя пользователя помимо пароля. И по сути злоумышленнику приходится перебирать не только пароль, а еще и имя пользователя. Зачастую имя уже известно ведь его надо показать в приветствии , значит оно как соль не подходит. В интернете полно готовых решений. Однако существует панацея и от коллизий. Выглядеть будет как обычный 32 символьный хеш. Готовый хеш 32 символа разбивается на блоки из 1-го поля - 2,4,8,16,32; второе число будет соответствовать, заранее определенному, порядку перемешивания. Однако стоит отметить что таким способом лучше шифровать отдельные слова. Иначе впоследствии могут возникнуть проблемы с дешефрацией. Если я в чемто ошибся поправьте меня! Хранение паролей в базе данных В этой статье я расскажу как безопасно хранить пароли в базе данных 1 способ. Взлом пароля 'loveyou' занимает сотые доли секунды 3 способ. Соль можно по-разному добывать djken, С солью последнему хешированию подвергается довольно специфичная уже запись, которую так уже не найти ибо их не триллионы, а числа, на несколько порядков выше Cthulhu, 2. Но это всё была присказка!!! Ломаем метод автора статьи Выполняю первые 3 шага. Теперь, если я взломал БД и получил хеши паролей, то я также и получил каждую 'солинку'!!! И что я делаю??? Да всё тоже самое!!! Так же, даты когда узер пишет что то типа ; 1 января года, т. И что у нас получилось? Ну так и что же делать??? Они для этого и сделаны. Пароль надо шифровать медленной криптохеш-функцией.

Соль php

Безопасное хэширование паролей

Закладки скорость порох

Фенотропил вся правда

Хеширование пароля с помощью md5 и соли

Санкт петербург купить амфетамин экстази

Соль php

Как сделать чтобы кровь не сворачивалась

что такое salt

Соль php

Купить спайс в саратове

Соль php

Рифмы к слову привет

«Соленое» хеширование паролей: делаем правильно

Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Необходимо обновить браузер или попробовать использовать другой. Тема в разделе ' PHP для новичков ', создана пользователем vikrorpert , 25 ноя Да даже зная фиг подберешь, если salt длинный. Маньяки могут предложить более изощрённые способы хранения salt для пущей надежности. В любом случае сколько веревочке не вейся, а сайт всё равно взломают, и доберутся и до md5 и до salt и до алгоритма, которые это генерит. Mat смотря что за ключ В сети валом словариков уже переведенных в MD5. Даже тут на форуме обсуждалось, насколько помню Апельсин хотел властелином мира стать. Mat ты и вправду веришь, что подобрать исходник в символов для хеша можно за 8 часов? Volt Активный пользователь. Апельсин А при чем тут исходник? Путем перебора всех возможных комбинаций - явно не 8 часов уйдет. А похрен на исходник. За 8 часов находится не исходник, а коллизия. Вот и Апельсин нашел для себя что-то новое в таком нубском топике! Век живи - и делай Соль - это случайная строка, которая приделывается к паролю - это да. Эта строка не секретна - она хранится в открытом виде. Зачем же это нужно. Если пароль не соленый и достаточно простой - его легко найти. Например, введите в гугл - fa57a5aa0e4afc3 2. Даже если пароль очень сложный, можно найти коллизию. Коллизия - это некая строка X, преобразование шифрования которой дадут тот же самый хеш, что и ваш пароль. Если пароль был соленый - нужно искать не просто эту строчку X, а такую, в которой еще и соль будет расположенная в соответствии с алгоритмом соления, что значительно сложнее, ибо радужные таблицы см. Соление случайной строкой защитит от того, что два одинаковых пароля в базе будут лежать как одинаковые хеши. От подбора пароля перебором по словарям соль не спасает. Помогает тут разве что более ресурсоемкий алгоритм шифрования. И последнее - используйте для криптования паролей http: Вы должны войти или зарегистрироваться, чтобы разместить сообщение. Ваше имя или e-mail: У Вас уже есть учётная запись?

Обход блокировки онлайн

Соль php

Mix оренбург