Re: Хеширование паролей - как лучше и безопаснее это сделать http://www.php.net/manual/en/function.password-hash.php
Re: Хеширование паролей - как лучше и безопаснее это сделать А на более ранних версиях ниже 5.5.? Добавлено спустя 31 минуту 15 секунд: Re: Хеширование паролей - как лучше и безопаснее это сделать? А crypt() может обеспечить хорошую безопасность?
Re: Хеширование паролей - как лучше и безопаснее это сделать Крипт это функция которая использует алгоритм какой найдет хороший в системе. Наверное да.
Re: Хеширование паролей - как лучше и безопаснее это сделать Вот только я не до конца пойму как функция crypt() работает... ... $hash = crypt($pass, "$salt"); ... $pass - пароль пользователя. $salt - соль. Вот только не пойму в каком виде должна быть соль... Или я неправильно понимаю данную функцию?
Re: Хеширование паролей - как лучше и безопаснее это сделать Строка само собой. Передавай логин - сойдёть. Кавычки не нужны конечно.
Re: Хеширование паролей - как лучше и безопаснее это сделать password_hash это надстройка над crypt, что бы попроще начинающим жилось. Там на странице есть ссылка на пользовательскую реализацию password_hash - можете взять и использовать.
Re: Хеширование паролей - как лучше и безопаснее это сделать Всем спс. Добавлено спустя 20 минут 10 секунд: Re: Хеширование паролей - как лучше и безопаснее это сделать? А если перенести сайт с одного хостинга на другой, то хешированный пароль не изменится?
Re: Хеширование паролей - как лучше и безопаснее это сделать Раньше могло быть такое, что на новом хостинге не было нужного алгоритма. Тогда ой. Но начиная с php 5.3 все алгоритмы реализовали на уровне PHP (раньше было на уровне библиотек дистрибутива операционной системы), так что переносимость должна быть 100%.
Re: Хеширование паролей - как лучше и безопаснее это сделать +1 этому форуму чертовски не хватает "лайков" ))
Re: Хеширование паролей - как лучше и безопаснее это сделать Я иногда не понимаю когда шутят, а когда в серьез говорят опытные программеры))) Вот и сейчас недопонимаю данные два сообщения)))
Re: Хеширование паролей - как лучше и безопаснее это сделать На некоторых форумах есть спасибки которые отображаются под сообщением. Обычно используются как тот же +1 или согласие с автором. Удобно на самом деле, действительно не хватает.
Re: Хеширование паролей - как лучше и безопаснее это сделать Всё актуально и по полочкам: https://wiki.php.net/rfc/password_hash Добавлено спустя 4 минуты 17 секунд: Re: Хеширование паролей - как лучше и безопаснее это сделать? Кратко по существу: соль не спасет устаревший алгоритм, а вот если password_hash делать с PASSWORD_BCRYPT, то можно и без неё. Добавлено спустя 3 минуты 5 секунд: Re: Хеширование паролей - как лучше и безопаснее это сделать? а по жизни, мы делаем хэши, чтобы не потерять пароли, если сольют базу. Код труднее слить, чем базу. Поэтому есть смысл держать соль в коде.
Re: Хеширование паролей - как лучше и безопаснее это сделать Вот это надо же так дать ссылку, а потом "кратко по существу" начать пороть такую чушь.
Re: Хеширование паролей - как лучше и безопаснее это сделать Что именно? Об этом написано по ссылке другими словами
Re: Хеширование паролей - как лучше и безопаснее это сделать Что именно чушь? Вот это: "то можно и без неё", и вот это: "есть смысл держать соль в коде". Вы правда читали сами ссылку? Salts exist for a single reason: To make it so that any time (CPU effort) spent cracking a single password hash cannot be amortized across multiple hashes. That means that attacking a single password hash will have no impact on the time it will take attacking another hash. Based on that reason, salts only need to be statistically globally unique.
Re: Хеширование паролей - как лучше и безопаснее это сделать Не слушайте умных дядек - они дурят. Надеюсь, не специально. MD5(password+salt) будет более, чем достаточно. До тех пор, пока злыдни не получат доступ к БД и алгоритму. А когда получат, то будет пофиг какой алгоритм кодирования, хоть супер-пупер+. п.с. Это уже не раз обсуждали - поищите на форумах.
Re: Хеширование паролей - как лучше и безопаснее это сделать MiksIr я основывался на этом Обращается внимание, что важнейшее значение имеет криптостойкость алгоритма. От известной соли мало толку при брутфорсе. Можно её вычислять в коде разную для каждого логина и т.п.
Re: Хеширование паролей - как лучше и безопаснее это сделать Соль и вычислительная сложность алгоритма - совершенно разные цели и задачи. Вычислительная сложность защищает от брутфорса одного пароля. Соль - защищает пачку паролей Т.е. если у нас есть N хешей паролей и время подбора одного хеша t, то без соли подбор _всех_паролей базы - почти тот же t. С солью - N*t. Именно по-этому соль должна быть уникальна для _каждого_ пароля в отдельности, т.е. нельзя одну "сделать одну соль и спрятать ее в приложении". Именно по-этому мы не можем отбросить соль как бы сложен алгоритм не был. А вопрос, что там сложнее слить - базу или код - вообще не стоит. При защите системы вы должны исходить в данном случае из худшего.
Re: Хеширование паролей - как лучше и безопаснее это сделать вообще-то, соль защищает от подбора хеша по радужным таблицам. если украли сорцы , то в принципе уже неважно, одна соль на всех или уникальная. алгоритм соли будет известен и никак далее не усложнит хакеру жизнь. то что вы советуете md5() - это зря. хеширование старое, уже не раз скомпрометированно. много коллизий... в нативном пхп есть sha1, sha2, они более устойчивы к взлому. так что как минимум - от md5 нужно уходить, его время прошло.
Re: Хеширование паролей - как лучше и безопаснее это сделать Вы видите в этих двух выражениях разницу? Я - нет. Мда... и проблема не в том, что вы тут пургу несете, а в том, что новичок же не различает - что пурга, а что нет. Коллизии у него, угу.