Pełna wersja: [php/sql] Bezpieczne Przechowywanie Hasła
Mam takie pytanie, ponieważ jestem w trakcie pisania czegoś w postaci webmaila, mam już najważniejsze klasy i funkcje teraz mam jedno pytanie, ponieważ z tego co się orientuje nie moge zakodować hasła md5 i potem zalogować się do skrzynki (jeżeli mogę to chciałbym wiedzieć w jaki sposóB)... Pytanie jest następujące: W jaki sposób zapisać hasła w bazie, aby było to w 100% bezpieczne? No i chyba najlepiej, żeby hasła były zakodowane...
Hasla haszuj funkcja md5" title="Zobacz w manualu PHP" target="_manual(), a przy logowaniu poprostu hashuj wynik z formularza i sprawdz czy jest identyczny...
Cytat(MaKaO @ 2004-08-17 01:46:54)
..., ponieważ z tego co się orientuje nie moge zakodować hasła md5 i potem zalogować się do skrzynki (jeżeli mogę to chciałbym wiedzieć w jaki sposóB)...
Z tego co się orientuje wiele demonów smtp, pop3 i imap obsługuje logowanie przez bazy danych. Co prawda nigdy z tego nie kożystałem, ale wiem, że się da :-)
Raczej bym nie kodował. Lepiej zabezpieczyć dostęp do bazy tak aby hasła nie były osiągalne. A jeżeli już coś to raczej poprzez openssl albo mcrypt. Mógłbyś jeszcze sorzystać z jakiś prostszych algorytmów (tak, żeby pierwszy lepszy lamer Ci tego nie złmał), jak np. szyfr XOR i takie tam. Ale nie ma mowy o nieodwracalnym szyfrowaniu.
Mógłbyś też skorzystać z logowania poprzez OpenSSL (z wykorzystaniem certyfikatu i szyfrowania z jego pomocą)... To byłoby bardzo bezpieczne.
Jeszcze inna możliwość to to, że user ma własne hasło do webmaila, które jest jednocześnie jego hasłem dostępu oraz np. kluczem przy szyfrowaniu przez mcrypt.
Albo jeszcze coś lepszego... Robisz sume hasła do webmaila i hasła do serwera z mailem i potem traktujesz to XOREM (albo i nie... to tylko tak aby to pomieszać).
(poprzez sume rozumiem, że $wynik[$i]=chr(ord($hasło_mail[$i])+ord($hasło_user[$i]))
Aha... poprzez Webmail rozumiem, że będziesz się łączył z zewnętrznym serwerem?
Mógłbyś też skorzystać z logowania poprzez OpenSSL (z wykorzystaniem certyfikatu i szyfrowania z jego pomocą)... To byłoby bardzo bezpieczne.
Jeszcze inna możliwość to to, że user ma własne hasło do webmaila, które jest jednocześnie jego hasłem dostępu oraz np. kluczem przy szyfrowaniu przez mcrypt.
Albo jeszcze coś lepszego... Robisz sume hasła do webmaila i hasła do serwera z mailem i potem traktujesz to XOREM (albo i nie... to tylko tak aby to pomieszać).
(poprzez sume rozumiem, że $wynik[$i]=chr(ord($hasło_mail[$i])+ord($hasło_user[$i]))
Aha... poprzez Webmail rozumiem, że będziesz się łączył z zewnętrznym serwerem?
Tak z zewnętrznym serwerem i nie za bardzo rozumiem o czym mówicie, bo to troche zbyt zaawansowane jak dla mnie
Gdzie znajde coś więcej na temat tego XORa?
Gdzie znajde coś więcej na temat tego XORa?
Funkcja haszowania lub po prostu kodowania dowolnym algorytmem jest w tym wypadku najlepsza.
Cytat(Zodiac @ 2004-08-17 22:53:28)
Funkcja haszowania lub po prostu kodowania dowolnym algorytmem jest w tym wypadku najlepsza.
Czyli jak ściągne sobie jakąś klase do kodowania haseł i odkodowania będzie wporządku?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.