| |
|
|
| | Пишу систему авторизации, хотелось бы у Вас спросить лучшию, по Вашему мнению, систему шифрования паролей, при том, что бы их потом можно было дешифрововать!
Я думаю этот вопрос интересен не только мне! | |
| |
|
|
| |
|
|
| |
для: Artemy
(13.12.2005 в 11:03)
| | | А зачем? Делать как все, используя хеш пароля. Т.е. в бд не храниться сам пароль, тем самым исключая смысл sql-inj.
Алгоритм такой.
1) Регистрация пользователя, он у казывает пароль.
2) В бд заносится данные о пользователя и хэш пароля.
3) Пользователь авторизируется, он вводит пароль, из которого берем хэш.
4) Ищем в бд хэш, если он существует для этого пользователя, то авторизация прошла успешно.
5) Хэш можно сохранить в куки, для автоматичекого распознования.
Тем самым исключая возможность кражи куки. | |
| |
|
|
| |
|
|
| |
для: AKiRA
(13.12.2005 в 11:31)
| | | Этот алгоритм мне известен, именно по нему и будет осуществляться работа.
Я хотел спросить, чем вычеслять этот хеш пароля, учитывая тот факт, что пароль когда-нибудь прийдется востановить? | |
| |
|
|
| |
|
|
| |
для: Artemy
(13.12.2005 в 11:38)
| | | Ну тогда crypt с ключом.
string crypt ( string str [, string salt] )
|
| |
| |
|
|
| |
|
|
| |
для: AKiRA
(13.12.2005 в 11:55)
| | | А как на счет mcrypt_ecb(); ? | |
| |
|
|
| |
|
|
| |
для: Artemy
(13.12.2005 в 11:03)
| | | Если система авторизации построена на MySQL, то удобно использовать связку MySQL-функций AES_ENCRYPT() и AES_DECRYPT() - они выполняют обратимое шифрование (дешифрование). | |
| |
|
|
