ugrás a tartalomhoz

PHP + MySql beléptető rendszer titkosítás nélkül

AGMT01 · 2016. Szep. 4. (V), 21.49
Törölve :D
‹ PHP tömb használata másik php fájlból Ez late-binding? ›
 
1

Húúú

Pepita · 2016. Szep. 5. (H), 00.06
A "kódolt" password is kissé gáz, de az, hogy a játék szerver plain text jelszót ment, az sokkal rosszabb.
Tehát a válasz az, hogy így is nagyon nyitva van a cucc, ha ezt még tovább rontod, el fognak lopni mindent.
2

hejj

szabo.b.gabor · 2016. Szep. 5. (H), 08.28
for($round = 0; $round < 65536; $round++)   
{   
    $check_password = hash('sha256', $check_password . $row['salt']);   
}
erre a for ciklusra semmi szükség, jó eséllyel rontja a hash biztonságát is, meg feleslegesen kotor egy csomót a processzor.
$check_password = hash('sha256', $check_password . $row['salt']);
bőven elég ennyi. amúgy meg hivatalos doksi.

szóval a semmire nem jó for ciklust vedd ki, azzal nem ártasz.
3

persze ezután a mentett

szabo.b.gabor · 2016. Szep. 5. (H), 08.29
persze ezután a mentett hash-ek nem lesznek már validak, de nem lehetetlen megugrani ezt úgy, hogy a felhasználóknak ne legyen kényelmetlen.
4

Nem igaz

janoszen · 2016. Szep. 5. (H), 09.17
Sajnos ez nem igaz. A ciklusok mestersegesen novelik a feldolgozasi idot, ezzel nehezebbe teve a brute force es dictionary torest. A "hivatalos" jelszofeldolgozo libek is hasznaljak ezt a modszert. Es nem, nem rontja a hash biztonsagat, ez gyakori tevedes.
5

akkor bocsi. úgy tudom

szabo.b.gabor · 2016. Szep. 5. (H), 10.38
akkor bocsi. úgy tudom md5-nél még rontotta, azért gondoltam.

hát akkor csökkentse az iterációk számát, ha ez így túl sok a szervernek..
6

Iras

janoszen · 2016. Szep. 5. (H), 10.46
Ez a thread eleg jol leirja, hogy mennyiben igaz az amit irsz. Eppen ezert szoktak azt mondani, hogy ne irj jelszo-tarolo algoritmust ha nem muszaj.