ugrás a tartalomhoz

MD5 hash jelszo

Anonymous · 2006. Okt. 22. (V), 11.18
Szeretnek minden regisztralt felhasznalonak egy jelszot tarolni adatbazisban. A jelszo MD5 hash kent legyen tarolva.

Amikor a felhasznalo bejelentkezik egy login oldalon, generalok meg egy MD5 hash-t es osszehasonlitom az adatbazisban levo MD5 hash-al.

Nem vagyok biztos, hogy a kovetkezo modszer a legjobb egy MD5 hash letrehozasra:

PHP MD5 fuggveny + plain text jelszo = MD5 Hash

Van jobb otlet?

Koszonom!
‹ URL-ben erkezo nev megvizsgalasa POST-bol erkezo adatok megtisztitasa ›
 
1

re

toxin · 2006. Okt. 22. (V), 11.52
Using the MD5 of a user's password is a common approach that is no longer considered particularly safe. Recent discoveries have revealed both weaknesses in the MD5 algorithm , and many MD5 databases minimize the effort required to reverse an MD5. To see an example, visit http://md5.rednoize.com/.

The best protection is to salt the user's password using a string that is unique to your application. For example:

<?php

$salt = 'SHIFLETT';
$password_hash = md5($salt . md5($_POST['password'] . $salt));

?>

Essential PHP Security
By Chris Shiflett
...............................................
Publisher: O'Reilly
Pub Date: October 2005
ISBN: 0-596-00656-X

a 3.2 fejezetből (SQL Injection)

üdv t
2

Koszonom

Anonymous · 2006. Okt. 22. (V), 12.40
Koszonom !
Melyik a legbiztonsagosabb jelszo tarolas ?
Szerinted nem erdemes MD5-ben tarolni ?

En gondolotam, hogy megcsinalom a SALT-ot de ha rossz kezekbe kerul a PHP kodom akkor a SALT segitsegevel gondolom feltorheti a MD5 hasht.
5

salted az már okés

Anonymous · 2006. Okt. 22. (V), 21.41
szerintem azért nehezebb az ilyen sózott cuccot visszafejteni, mert a második md5 már egy hosszú md5-ös sztringet(+só) hashel be. Enélkül egy rövid, max 6-8 karakter hosszú jelszót kell visszafejteni, ami nem túl nehéz (legalábbis van esély rá, hogy a visszafejtett cucc tényleg az eredeti). Két hashelés után viszont már kicsi az esély, hogy visszanyerhető az eredeti jelszó (pl. mert a második alkalommal helyesen már egy olyan stringet hashelünk, ami hosszabb, mint a keletkezett hash, így a keletkezett hash szükségszerűen nem képes hordozni a teljes információtartalmat.) (vagy legalábbis túl sok variáció jön ki lehetséges eredeti jelszóra)
wezz
3

linka témáról

tlof · 2006. Okt. 22. (V), 13.12
Biztonságosabb jelszó tárolás

Itt irtak erről egy elég jó cikket
4

SHA1....

Anonymous · 2006. Okt. 22. (V), 13.18
Kar, hogy SHA1-el oldja meg a problemat. Ha jol tudom az SHA1 sebezhetobb mint MD5.
6

SHA1

Anonymous · 2006. Okt. 22. (V), 23.18
Miért sebezhetőbb? Ha jól tudom az sha1 140 bites, míg az md5 128, tehát én
inkább pont arra gondolnék, hogy az sha1 a biztonságosabb!

Tud valaki ezzel kapcsolatban valami biztosat?

Kérlek erősítsetek vagy cáfoljatok meg!
7

Ha már szóbakerült

krey · 2006. Okt. 23. (H), 11.48
Ha már szóbajött az SHA-1, akkor javasolnám, hogy használd mind2-t. Küldjél neki(k) random salt-ot. A végén nehezebb lesz kitalálni mit hányszor és hogy hash-eltél össze. Én amúgy WHIRLPOOL-t szeretem.

üdv. krey