Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php]hashowanie haseł
Forum PHP.pl > Forum > Przedszkole
bolec
25.02.2008, 15:19:58
Witajcie za nim ktoś powie ,że to jest tylko podwójny hashowanie itd niech zapozna się z działaniem tej funkcji a nie patrzy na to ,że 2 razy jest użyta funkcja md5 i tam sha1.
co myślicie o takim hashowaniu haseł? (z funkcji się korzysta jak ze zwykłej crypt())
[PHP] pobierz, plaintext 
  1. <?
  2. function pass($password, $salt = null) {
  3. 	$key = crc32($password);
  4. 	if($key & 0x80000000){
  5. 		$key ^= 0xffffffff;
  6. 		$key += 1;
  7. 		$key = -$key;
  8. 	}
  9.   $multiplication = (md5($password) * $key);
  10.   $bin = decbin($key);
  11.   $password = sha1($password.$key.md5($multiplication ^ $bin));
  12.   return crypt($password, $salt);
  13. }
  14. ?>
[PHP] pobierz, plaintext
nospor
25.02.2008, 15:48:06
no dobra, to wyjasnij mi prosze jaka jest roznica miedzy twoim kodem a tym:
[PHP] pobierz, plaintext 
  1. <?php
  2. echo md5('haslo'.'a tu jakis tajny ciag');
  3. ?>
[PHP] pobierz, plaintext

Jak sie ma Twoj kod to trudnosci zlamania w porównaniu z tym wyzej?
bolec
25.02.2008, 15:49:46
hmm tym ,że tajny ciąg dla każdego hasła jest inny, nie jest stały oraz końcowy hash jest za każdym razem inny.
nospor
25.02.2008, 15:53:03
ale jaki to ma wply na trudnosc zlamania? Ja nie widze zadnego. Wyjasnij mi to prosze albo zamykam bo juz nie raz byla mowa o hashowaniu hasel.
bolec
25.02.2008, 15:55:52
w tym ,że przykładowo hmm
jak mamy cały portal i tajny ciąg możemy sobie zmienić w panelu admina czyli ciąg jest trzymany w zmiennej, a przy portalach np przy cmsie nie wypada zeby wszystkie maly taki sam tajny ciag, i dajmy na to ze jest luka w portalu to da sie wykrasc ten tajny ciag i juz jest latwiej tongue.gif a np przy moim tajny ciag jest za kazdym razem inny oraz hash jest inny, no to chyba tyle
nospor
25.02.2008, 16:00:06
Cytat
jak mamy cały portal i tajny ciąg możemy sobie zmienić w panelu admina
tjaaa... zmien sobie tajny ciag po kilku miesiacach pracy portalu to uzytkownicy co sie zarejestrowali do tej pory juz sie nie zaloguja.

Cytat
i dajmy na to ze jest luka w portalu to da sie wykrasc ten tajny ciag
Jak wykradne tajny ciag to i wykradne twoj kod generacji hasha. Wychodzi na to samo.

A tajny ciag czy tez twoj kod jest mi potrzebny tylko i wylacznie do stworzenia rainbow tables (tworzenie takich tabel troche moze potrwac). Dla brute force zadne nie jest potrzebne.

zamykam. odsylam do tematu:
http://forum.php.pl/index.php?showtopic=44...t=0&start=0
bylo juz to omawiane

starczy tematow co tworzą kolejne klony dajace defakto taki sam efekt

ps:
Cytat
końcowy hash jest za każdym razem inny
ze niby dla hasla "test" za kazdym razem bede mial inny hash? winksmiley.jpg
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.