Wątek: Podstawy bezpieczeństwa

Tak sie składa że tamten temacik też czytałam i też tam większożć osób nie odróżnia hasła WEJ¦CIOWEGO od WYJ¦CIOWEGO -_-'

Ano i tu jest różnica bo Helid nie napisał o co dokładnie mu chodzi ;* Nie bulwersuj się Każdy się myli przecież

md5 z hash salt nie do zlamania slownikowo brutalem an wyszukiwarkach jak np na milw0rm.com czy tym podobnych. md5 idzie polamac jak zawartożc nie jest za długa i trudna SH1 nie ma decrypterów sa tylko cryptery w 2 stronie się nie da

sha1 też idzie złamać, proszę oto lekturka -> http://pl.wikipedia.org/wiki/T%C4%99czowe_tablice

Wszystko idzie złamać, wszystko.

No tak, ale w sumie łamanie hasha SHA1/MD5 zbytniego sensu nie ma IMO krócej trwałby brute force. Osobiżcie korzystam z mieszanego szyfrowania, coż w tym stylu:

Kod:

$str = md5(sha1(md5($str.SOME_TEXT))).'a2f';

Dopóki osoba włamująca się nie ma podglądu plików, dane są bezpieczne. NIE WIE w jaki sposób odszyfrować hasło, bo nie wie jak zostało zaszyfrowane. Równie dobrze mogłaby tego hash'a nie mieć. Gdyby nie było takiego zabezpiecznia, może sobie wpisać hash'a do bazy md5/sha1. Może akurat się trafi... Co to jest radzę poczytać na Google.

Zabezpieczenie przed brute force jest jeszcze banalniejsze. Wystarczy nie zezwalać użytkownikowi na wpisanie błędnego hasła kilka razy pod rząd - po prostu blokować logowanie dla tego konta. Ofc 3,5,7 razy to nieco za mało, ale np już 10 logowań na 20 minut jest całkiem OK (wkurza mnie, jak nie trafie na włażciwe hasło, mam ich kilkanażcie...).

Nie wiem po co się tak męczyć z tym md5(sha1(sha1(md434())) i nie wiadomo co jeszcze...

Lepiej zmusić użytkownika do stosowania trudnego hasła- przynajmniej 1 wielka litera, przynajmniej 1 cyfra, dłuższe niż 7 znaków krótsze niż 30 podobnie jak w vall.
Nie dardy tego złamać ani za pomocą brute force ani odkodować-w przyzwoitym czasie.
(można jeszcze oddzielić login od imienia postaci i używać loginu tak samo jak hasło, na takiej samej zasadzie)
Po za tym można stosować sposub z max ileż tam błędnymi wpisami haseł pod rząd a na dodatek stosować kody captcha przy każdej próbie logowania.

Ps. Jak ktoż się porywa na captcha to niech pomyżli chwile zanim zacznie ustawiać pełno kołek i innych dupereli w oku napisu, zmniejszać kontrast obrazka itp...

Taki był szum w sieci że captcha google zostały złamane a jak one wyglądają :jezyk2: ?
https://www.google.com/accounts/NewAccount?service=mail

Aven: Z dożwiadczenie wiem, że takie wymuszenia są beznadziejne... Po pierwsze, wymuszają na użytkowniku dziwne hasło. Dwa problemy. Albo wcale się nie zarejestruje, albo zapomni hasła. Pamiętaj, zawsze użytkownik jest leniwy i chce mieć jak najlepiej. To jedyna słuszna reguła w projektowaniu. Nie zmuszaj go do zmiany przyzwyczajeń, bo cię opużci.

Klaus Korner, niby tak, najlepszym rozwiązaniem jest po 3 próbach podania hasła wyżwietlić kod CAPTCHA a czy ktoż pozna hasło po włamaniu dzięki tęczowym tablicą to zależy od samego internauty .

Ps. Aven to ja :P ...

piraci, captha? Pamiętaj iż z internetu korzystają ludzie niewidomi. A przykładów niezbyt udanej capthy na necie możesz znaleźć wiele