Cześc,
Proszę o pomoc w jednym temacie w którym jestem zielony.

Po co przechowywać w bazie hasła w MD5 skoro jeśli nieproszony gość przechwyci takowe, i tak będzie mógł używając go dosłownie, zalogować się na konto danego usera.

Jak najlepiej przechowywać hasła użytkowników w bazie. Przy użyciu jakiej funkcji (z własnym kluczem) je kodować.

Dzięki

Pozdrawiam

MD5 ma to do siebie, że nie da się go rozszyfrować, a skrypty logujące userów porównują właśnie hashe MD5 a nie same hasła, tzn. że wpisanie hasha md5 w pole 'hasło' nic nie da
A hasła w bazie polecam przechowywać w postaci hasha hasła i jakiejś randomowej soli

Jeśli ktoś wykradnie Ci hasło zakodowane w md5 i spróbuje się z niego zalogować to ono jeszcze raz zostanie przepuszczone przez md5 podczas porównywania hasła wpisanego tego z bazą i wyjdzie zupełnie inny ciąg znaków.
Md5 praktycznie jest nie do rozkodowania, trzeba by było porównywać ciągi znaków zakodowanych haseł z tym wykradzionym.
Czyli trzeba znać nie zakodowane hasło .

MD5 było nie do złamania. Jakieś 10 lat temu. Przy odrobinie chęci, obecnie to nie problem.

Obecnie radziłbym stosować Bcrypt albo sha515, koniecznie ze sporą ilością iteracji.

Faktycznie! Ehh nie pomyślałem Dzięki za wyjaśnienie. Właśnie tego było mi trzeba.

A ja powtórzę jeszcze raz, md5 obecnie nie jest żadnym zabezpieczeniem. W dodatku aż razi, że nikt nie wspomniał o soleniu hasła. Nawet w sieci możesz znaleźć słowniki md5, niektóre całkiem spore.

Nikt tego nie neguje. Jak najbardziej masz rację. Chodziło mi o samą istotę całego procesu.

W PHP 5.5 pojawiły się bardziej współczesne funkcje do obsługi haseł
http://www.php.net/password

Warto z nich korzystać.

Jasne, wolę tylko podkreślić, żeby czasem OP nie przyjął tego za prawdę objawioną.