Обучение/Помощь новичкам | Хеш паролей
OZZY
Тема закрыта by
NESCOKE
NESCOKE
PhpStorm (08.03.2019 в 12:54)
Todge (08.03.2019 в 12:48)
PhpStorm (08.03.2019 в 12:20)
как всегда дичь о радужных таблицах
password_hash() - я не против, НО Добро пожаловать в мир php7
Это не дичь, это реальность.
--
В принципе функции ничем не отличаются, кроме того, что соль генерируется самостоятельно и параметры обязательны.
Тот же аргон используется и в password_hash() но с учетом, что он есть в сборке к php
радужные таблицы - дичь для нубов попугать их
в password_hash() ЕМНИП, то если добавлять алгоритм PASSWORD_BCRYPT, то соль тоже будет автоматом добавляться и хэш для одного и того же пароля будет всегда разный, так что не слишком сильно они и отличаются
Todge (08.03.2019 в 12:48)
PhpStorm (08.03.2019 в 12:20)
как всегда дичь о радужных таблицах
password_hash() - я не против, НО Добро пожаловать в мир php7
Это не дичь, это реальность.
--
В принципе функции ничем не отличаются, кроме того, что соль генерируется самостоятельно и параметры обязательны.
Тот же аргон используется и в password_hash() но с учетом, что он есть в сборке к php
радужные таблицы - дичь для нубов попугать их
в password_hash() ЕМНИП, то если добавлять алгоритм PASSWORD_BCRYPT, то соль тоже будет автоматом добавляться и хэш для одного и того же пароля будет всегда разный, так что не слишком сильно они и отличаются
Так я тебе о том же и говорю, различия не глобальны.
--
Что касательно радужных таблиц и безопасности MD5? Прочти документ RFC 6151, он признает алгоритм шифрования MD5 небезопасным. На хабре в свое время даже статья была, где детально описывают работу радужки и результаты ее использования.
Todge (08.03.2019 в 13:02)
PhpStorm (08.03.2019 в 12:54)
Todge (08.03.2019 в 12:48)
PhpStorm (08.03.2019 в 12:20)
как всегда дичь о радужных таблицах
password_hash() - я не против, НО Добро пожаловать в мир php7
Это не дичь, это реальность.
--
В принципе функции ничем не отличаются, кроме того, что соль генерируется самостоятельно и параметры обязательны.
Тот же аргон используется и в password_hash() но с учетом, что он есть в сборке к php
радужные таблицы - дичь для нубов попугать их
в password_hash() ЕМНИП, то если добавлять алгоритм PASSWORD_BCRYPT, то соль тоже будет автоматом добавляться и хэш для одного и того же пароля будет всегда разный, так что не слишком сильно они и отличаются
Так я тебе о том же и говорю, различия не глобальны.
--
Что касательно радужных таблиц и безопасности MD5? Прочти документ RFC 6151, он признает алгоритм шифрования MD5 небезопасным. На хабре в свое время даже статья была, где детально описывают работу радужки и результаты ее использования.
PhpStorm (08.03.2019 в 12:54)
Todge (08.03.2019 в 12:48)
PhpStorm (08.03.2019 в 12:20)
как всегда дичь о радужных таблицах
password_hash() - я не против, НО Добро пожаловать в мир php7
Это не дичь, это реальность.
--
В принципе функции ничем не отличаются, кроме того, что соль генерируется самостоятельно и параметры обязательны.
Тот же аргон используется и в password_hash() но с учетом, что он есть в сборке к php
радужные таблицы - дичь для нубов попугать их
в password_hash() ЕМНИП, то если добавлять алгоритм PASSWORD_BCRYPT, то соль тоже будет автоматом добавляться и хэш для одного и того же пароля будет всегда разный, так что не слишком сильно они и отличаются
Так я тебе о том же и говорю, различия не глобальны.
--
Что касательно радужных таблиц и безопасности MD5? Прочти документ RFC 6151, он признает алгоритм шифрования MD5 небезопасным. На хабре в свое время даже статья была, где детально описывают работу радужки и результаты ее использования.
если честно, то даже я когда начинал колупать php, то уже не использовал sha или md5, просто даже не читал доки о них, только если тупо чей-то скрипт переписывал, то там эти методы шифрования просто оставались без изменений
PhpStorm , Нет, ну я работал с md5, еще в 2012-3 когда начинал и не особо углублялся в безопасность.
PhpStorm ,
А это правильно?
PHP_SELF А это правильно?
if(isset($_REQUEST['success'])){
$name = text($_POST['nickname']);
$pass = text($_POST['password']);
$sql = mysql_fetch_array(mysql_query("SELECT `login`,`password`,`bot` FROM `users` WHERE `login` = '".$name."' and `password`='".md5(md5($pass))."' AND `bot` = '0' LIMIT 1"));
if(empty($name)) msg('Введите логин');
elseif(empty($pass)) msg('Введите пароль');
elseif($sql == 0) msg('Такой пользователь не найден');
else {
setcookie('login', $name, time()+86400*365, '/');
setcookie('password', md5(md5($pass)), time()+86400*365, '/');
header('location: /');
}
}
PHP_SELF , Не правильно.
1. Опять же md5(md5(
2. Хранить пароли в куках не целесообразно, пользуйтесь ключом авторизации
1. Опять же md5(md5(
2. Хранить пароли в куках не целесообразно, пользуйтесь ключом авторизации
Todge (10.03.2019 в 22:14)
PHP_SELF , Не правильно.
1. Опять же md5(md5(
2. Хранить пароли в куках не целесообразно, пользуйтесь ключом авторизации
PHP_SELF , Не правильно.
1. Опять же md5(md5(
2. Хранить пароли в куках не целесообразно, пользуйтесь ключом авторизации
Что не правильно???
Млять, где вы такие умники беретесь.
Todge , а как правильно можешь написать правильно
Cezarionis , так правильно или нет
PHP_SELF (10.03.2019 в 22:18)
Cezarionis , так правильно или нет
Cezarionis , так правильно или нет
Не слушай его. То что ты юзаешь тоже работает. Пусть возьмет и сворует куки а потом их расшифрует.
Так что норм.
Cezarionis , как их можно своровать?и как можно от этого защититься