| |
|
|
| | Пишу свой первый сайт. Хочется спросить опытных и знающий людей о надежных способах шифрования паролей. На одну лишь функцию md5() я не рассчитываю, поскольку подобрать пароль, соответствующий хэш-коду, можно подчас за несколько секунд, имея базу хэшей. Сам видел подобный сайт. А если делать преобразования с самим паролем или кодом? Например, что-то в этом роде:
1. Пользователь при регистрации вводит пароль.
2. Скрипт вставляет в определенное место или места в пароле (скажем, после первого символа) какой-нибудь знак – скажем, запятую, знак доллара и т.д.
3. Эта конструкция хэшируется в md5.
4. Хэш-код тоже проходит какую-либо обработку – например, цифра 9 меняется на букву "f", буква "c" на цифру 5...
5. Данные пользователя пишутся в БД.
Ну и соответствующие действия скрипт проведет при авторизации. | |
| |
|
|
| |
|
|
| |
для: Poruchik
(17.06.2006 в 11:59)
| | | Надо придумывать собственные алгоритмы шифрования.
Один такой ты уже привёл внизу.
И не советую заменять символы.. | |
| |
|
|
| |
|
|
| |
для: Poruchik
(17.06.2006 в 11:59)
| | | Зачем менять цифры, буквы? Что качается паролей, все намного проще:
<?
$pass = "1234";
$prf = "h6Gf4F";
$str = $prf.$pass;
$str = base64_decode($str);
$crypt = md5(md5($prf.$str));
print $crypt;
?>
|
Самый простой алгоритм, но при этом безопасность повышается на 99%, а 1% - то что расшифруют, так как перебор по словарю никто не отменял... НО что бы расшифровать, подобное, нужно еще и алгоритм знать... | |
| |
|
|
| |
|
|
| |
для: dumus
(17.06.2006 в 12:07)
| | | Перебор по лсоварю отменяеться за 10 мин.
И тогда останеться 0,01% что случайно наберу пароль..
Ошибся буквой в нике а у обоих тот же пароль... | |
| |
|
|
| |
|
|
| |
для: valenok
(17.06.2006 в 12:09)
| | | Этот вариант, оставим на везение)
Хотя... если грамотно еще и сессии подключить... | |
| |
|
|
| |
|
|
| |
для: dumus
(17.06.2006 в 12:12)
| | | Ну и это можно вообщем.. | |
| |
|
|
| |
|
|
| |
для: Poruchik
(17.06.2006 в 11:59)
| | | >имея базу хэшей
Её ещё добыть нужно... если уплывает база хэшей - это уже не штатная ситуация, следует приложить все усилия, чтобы этого никогда не происходило. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.06.2006 в 13:26)
| | | Я имел в виду не базу хэшей паролей с моего сайта, а общую, по возможности большую базу с хэш-кодами для паролей определненной длины. Возможно, я и глупость написал, поскольку такая база должна быть огромной. :) | |
| |
|
|
| |
|
|
| |
для: Poruchik
(17.06.2006 в 15:00)
| | | Вообщем словарь где все влова уже находятся в md5
Интересно куда он такие слова подставляет... | |
| |
|
|
| |
|
|
| |
для: cheops
(17.06.2006 в 13:26)
| | | Её ещё добыть нужно... если уплывает база хэшей - это уже не штатная ситуация, следует приложить все усилия, чтобы этого никогда не происходило.
У меня такое было (добывал), но перебор меня замучил...Наплевал...( Так что еще терпение нужно или компьютер из Пентагона какого-нить...
Я имел в виду не базу хэшей паролей с моего сайта, а общую, по возможности большую базу с хэш-кодами для паролей определненной длины.
Дык перебор не таким образом происходит...Вы выбераете какие символы там в пароле наверное есть и длину, а потом программа будет для каждого значения хеш делать и проверять с вашим случаем... | |
| |
|
|
| |
|
|
| |
для: Unkind™
(17.06.2006 в 19:00)
| | | Дык перебор не таким образом происходит...Вы выбераете какие символы там в пароле наверное есть и длину, а потом программа будет для каждого значения хеш делать и проверять с вашим случаем...
На генерацию md5-хеша тратится время. Поэтому можно создать базу данных с паролями и уже вычисленными хешами к ним. И для того, чтобы узнать пароль, нужно всего лишь произвести поиск по бд.
Такой способ очень невыгоден, так как объёмы сгенерированной информации слишком большие. Для примера, бд, состоящее из паролей от 1 до 6 букв английского алфавита в обоих регистрах и md5-хешах к ним должна занимать ~699,3 Гбайт. | |
| |
|
|
| |
|
|
| |
для: Unkind™
(17.06.2006 в 19:00)
| | | > Так что еще терпение нужно или компьютер из Пентагона какого-нить...
Обычно под это дело ломают сети или мощные сервера и подбирают пароли на них - на персоналках только энтузиасты работают :))) Более того, обычно не сами ломают сервера а покупают доступ к сломанным серверам - чёрный хакерский рынок достаточно развит в этом плане... Другой вопрос, что если затраты не окупаются - это не имеет смысла. | |
| |
|
|
