Søg
Avatar billede TheYaXxE Juniormester
07. juni 2013 - 18:19 Der er 6 kommentarer og
1 løsning

Sikre passwords med SALT

Hey. Jeg er i gang med at optimere mit login-system ved at bruge saltede passwords.

Jeg har inde på denne side:
http://crackstation.net/hashing-security.htm#attacks

læst at den bedste måde at lave sit SALT er ved at bruge CSPRNG til at generere en tilfældig, lang hash.

Jeg har prøvet at følge den guide på php.net, men syntes ikke rigtig at jeg kan få genereret en lang hash ved dette... Nogle der kan forklarer mig, hvordan man gør det rigtigt?

--------

Og nu når det handler om sikrede passwords, er det så ikke meget sikker at fx. bruge denne metode:

$password = "mitkodeord";
$email_password = substr($password, 0, 12);
$new_password = sha1($email_password);

?

- YaXxE
Avatar billede arne_v Ekspert
07. juni 2013 - 18:38 #1
1)

Jeg er uenig med den artikel paa en del omraader.

Du kan laese mit tilgang her:
  http://www.eksperten.dk/guide/1542

Det meste af uenigheden bunder nok i at argumenterne med lange salt som skal vaere baseret paa kryptografisk sikker RNG efter min mening er noget BS. Normalt vil salt blive stjaalet sammen med det hasheded password, saa de ting betyder ikke rigtigt noget.

2)

Du linker ikke til den guide paa php.net du ontaler og forklarer ikke hvad der ikke virker, saa det er svaert at hjaelpe med.

3)

Salt og hash drejer sig om hvordan password gemmes i DB. Det har intet at goere med hvordan du genererer passwords.

Den viste PHP snippet ser dybt suspekt ud. Man sender ikke passwords i emails. man trunkerer ikke passwords. Og man bruger ikke SHA1.
Avatar billede TheYaXxE Juniormester
07. juni 2013 - 19:10 #2
Tror også jeg hælder mere til din guide, da den er en del nemmere at forstå ;)
Avatar billede TheYaXxE Juniormester
07. juni 2013 - 19:14 #3
Sikkert et dumt spørgsmål, men hvordan bruger man SHA-256? :D

hash("sha256",$password)

eller noget i den retning? :S
Avatar billede arne_v Ekspert
07. juni 2013 - 19:23 #4
ja
Avatar billede arne_v Ekspert
07. juni 2013 - 19:24 #5
hash('sha256', $pw)

eller altsaa:

hash('sha256', $salt . $pw)
Avatar billede TheYaXxE Juniormester
07. juni 2013 - 20:20 #6
Super mange tak du ;)

Vil du have point?
Avatar billede arne_v Ekspert
07. juni 2013 - 21:14 #7
svar
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
MS Graph vis kalenderaftaler Af dane022 i PHP 0 06/11/202508:43 -
Hente data fra DEVICE via websocket Af nemlig i PHP 6 25/06/202512:37 25/06/202519:17
Login og redirect Af hrole i PHP 3 24/06/202518:52 24/06/202523:37
Batflat CMS Af sabumnim i PHP 0 06/06/202512:37 -
Hvad gør et @ før en funktion Af KurtG i PHP 3 01/06/202513:20 01/06/202518:27
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
27/1222:02 Låse brugt iPad op Af drstein i iOS, iPhone & iPad
27/1219:21 Hvor finder jeg en oversigt over mine spørgsmål Af KurtG i Hjælp og fejl
27/1211:31 TP-Link Wifi extender opsat som accesspoint giver 50% up- og download, Af Uvanga i Wifi
26/1213:05 Hvorfor bliver tiff-filer større ved konvertering til samme format Af KurtG i Billedbehandling
23/1221:36 Gøre Ikonerne lidt større i proceslinjen (Windows 10) Af Ikke-ekspert i Windows
White papers
Flere white papers »