CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede moocher Nybegynder
14. februar 2008 - 16:26 Der er 8 kommentarer og
1 løsning

Opbevaring af passwords

Hej

Jeg sidder og skal igang med et login framework til mine sider, og vil lige vende min opbevaring af passwords med jer, og om nogle har nogen input itl sikkerheden i det etc. Pt ser det sådan ud

Første gang (register)

pass = password
salt = random 6 ciffer
passcode = Sha1(salt + ciffer)
passcode = salt + passcode
Save passcode i db


Login

pass = password
salt = subst(passcode, 6)

if (passcode = Sha1(salt + pass)) {
  Login
}


Ser dette sikkert nok ud - selvom man får fat i al kildekoden og dben
Avatar billede arne_v Ekspert
14. februar 2008 - 18:57 #1
Det er ikke helt ved siden af.

* jeg ville gemme salt i et separat felt
* jeg ville overveje SHA-256 fremfor SHA-1
Avatar billede moocher Nybegynder
14. februar 2008 - 22:45 #2
Det havde jeg ikke lige tænkt over at bruge et felt mere til det :P Og jeg er ikke sikker på at serveren jeg har understøtter sha256, men det finder jeg lige ud af
Avatar billede moocher Nybegynder
14. februar 2008 - 23:30 #3
Hmmm MySql db understøtter det ikke men det kan jeg vist klare i php delen... Er salt størrelsen tilstrækkelig ??
Avatar billede arne_v Ekspert
14. februar 2008 - 23:42 #4
Den er stor nok til at der ikke er pregenererede tabeller.

Og skal crackere udregne den on the fly så er længden stort set ligegyldig.

På den anden side koster det vel ikke noget at gøre det til 6 random bytes med
256^6 muligheder fremfor 6 random digits med 10^6 muligheder.
Avatar billede arne_v Ekspert
14. februar 2008 - 23:49 #5
Jeg ved at nyere PHP understøtter SHA-256.
Avatar billede erikjacobsen Ekspert
14. februar 2008 - 23:53 #6
Jeg ville måske tilføje:

passcode = Sha1(salt + ciffer+"lang tilfældig tekst")

"lang tilfældig tekst" er selvfølgelig noget du finder på, og samme tekst skal du også bruge i forbindelse med kontrol af password.

Hvis man kun får fingre i din database, og ikke din kodes kildetekst, har man ingen chance for at gætte den tekst.
Avatar billede moocher Nybegynder
15. februar 2008 - 00:21 #7
Det var også 6 random bytes jeg mente :)

lyder som en god ide med den ekstra tekst (selvom jeg vil tro at min kildekode vil ryge før min db)
Avatar billede arne_v Ekspert
06. april 2008 - 06:13 #8
all set ?
Avatar billede moocher Nybegynder
06. april 2008 - 11:46 #9
Ja det kan man godt sige :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra MySQL kategorien

Titel Indlæg Oprettet Seneste aktivitet
mysqldump - encoding Af mergelspir i MySQL 3 19/03/202414:25 19/03/202415:21
søgning mellem to set variable.. Af SommerFyr i MySQL 12 05/03/202421:45 06/03/202416:41
Etablering af simpelt bookingsystem til udlån af musikudstyr Af Jesper i MySQL 5 29/01/202412:58 31/01/202411:04
Forstår ikke fejlen "Incorrect datetime value" Af nemlig i MySQL 11 14/12/202321:34 15/12/202320:26
SQL query Af larsgrau i MySQL 3 24/10/202311:56 25/10/202321:51
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 16:05 win 10 vil ikke boote Af bb69 i Windows
I dag 11:20 Lenovo x390 Af tobberjas i PC
I dag 10:14 Alder i Excel Af Nanarsi i Excel
I dag 09:00 Flere linier på faneblad Af Peder Lund Nielsen i Excel
I går 21:35 Flash Player Af ErikHg i Andet software
White papers
Flere white papers »


Premium
Teaser billede
Rigsrevisionen kritiserer fire statslige myndigheder for dårlig it-sikkerhed: Har haft seks år til at løse problemet
Læs mere »
Microsofts nye Windows 11-funktion kaldes ”en guldgrube for hackere”
"Jeg var den sjette medarbejder, der blev ansat dengang, i dag er vi over 1000"
Twoday rykker hovedkontoret til Nordhavn: Opsiger flere lejemål og samler kontorer
Se alle »
Computerworld
Teaser billede
MobilePay ændrer på funktion få måneder efter stor opdatering
Læs mere »
Den næste version af Windows 11 er nu tilgængelig for de første brugere: Se, hvad du kan forvente
Kæmpemæssig AI-opdatering styrer mod din iPhone: Derfor bliver iOS 18 særlig interessant
Jeg havde simpelthen aldrig forestillet mig, at det nye Rejsekort ville minde om noget, der var udtænkt af IBM i 60’erne
Se alle »
CIO
Teaser billede
Energinet får igen kritik for milliardstor outsourcing: To væsentlige it-sikkerhedstiltag er ikke blevet indført til tiden
Læs mere »
Nomineret til Årets CIO: Martin Wood har skabt en leveringsmaskine hos Domstolsstyrelsen - Håber det kan inspirere andre offentlige myndigheder
Han er en af Danmarks bedste CIO’er: Topdanmarks Kasper Tjørntved Davidsen står i spidsen for digitale transformationer til milliarder af kroner
Bestyrelser på pinebænken under hackerangreb: "Altså 500.000 euro i løsesum er jo ikke så meget"
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Google fyrer hele sit Python-team
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
MDR: Transparent sikkerhed og overvågning i realtid
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »