md5 eller sh1 hvad er bedste

Hvad der er bedst kommer jo helt an på hvad det skal bruges til.

DEt er min forståelse at til kodeord så er SHA1 at foretrække, men til almindelig hashing så er MD5 helt fint da det vistnok er lidt hurtigere

sha1 er bedre end md5. Er det til at gemme passwords? Så kan du gøre det endnu bedre ved at tilføje salt.
http://en.wikipedia.org/wiki/Salt_%28cryptography%29
På den måde undgår du at man kan bruge hashkoden (sha1 og md5) i en rainbow table til at finde et kodeord.
http://en.wikipedia.org/wiki/Rainbow_table

Vil også tro at md5+salt er bedre end sha1 uden salt.

omkring det med salt hvad er det ? :) og hvordan tilføjer jeg md5+salt?

I en database ville du have to kolonner, et for salt og et for hashkoden af salt+password (om det så er md5, sha1 eller noget tredje er op til dig). Saltet er en tilfældig genereret streng (for hver bruger) som du tilføjer til kodeordet inden du udregner hashkoden.

Så det eneste du har til at validere kodeordet, er saltet og hashkoden. Så når du får kodeordet i klartekst fra en klient, så laver du en ny streng = salt (fra databasen) + kodeordet (fra klienten), og så laver du hashkoden ud fra den nye streng og sammenligner med den hashkode du har gemt i databasen.

nååår okay :) det giver en god forstås :)

Fandt også en ældre guide her på eksperten:
http://www.eksperten.dk/guide/1051

Fuck jegskal bare læse meget man når men det må blive i morgen når jeg få tid :D takker for hjælpen Tolamaps ! :D

Du kan jo også godt salte + sha1.

Anyways - lad være med at gemme klartekst password NOGET sted. Det er top mål af amatør'isme :)

$secret_string = "()223jkdf"()#"#JKjksdJK!"#njknasdkaj2"#"!K#"; // Global secondary salt

$random_salt =  str_makerand (4,10,1,1,1); // Random funktion, se funktion nedenfor. Denne skal også gemmes i databasen med sha1 password

$tmp_pwd = $_POST['password'];

$sha_salted_pass = sha1($secret_string . $random_salt . $tmp_pwd); // rækkefølgen kan du jo variere så det bliver mere uforståelig.







function str_makerand ($minlength, $maxlength, $useupper, $usespecial, $usenumbers)
{
$charset = "abcdefghijklmnopqrstuvwxyz";
if ($useupper) $charset .= "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
if ($usenumbers) $charset .= "0123456789";
if ($usespecial) $charset .= "~@#$%^*()_+-={}|][";
if ($minlength > $maxlength) $length = mt_rand ($maxlength, $minlength);
else $length = mt_rand ($minlength, $maxlength);
for ($i=0; $i<$length; $i++) $key .= $charset[(mt_rand(0,(strlen($charset)-1)))];
return $key;
}

The_buzz Whaaat.. intet af det siger mig noget som helst. jeg tror bare at jeg holder mig til md5 :) jeg vil helst tag det still og roligt :)

Jeg spørger igen: Hvad skal det bruges til?

Hvis du ikke vil bruge salt eller noget andet, så synes jeg at du bør bruge SHA1 til passwords.
Hvad buzz postede var bare en måde hvorpå du kunne højne sikkerheden ved at lave en tilfældig string til hvert password som du tager med i din hashing og kombinerer det med en global/fastdefineret string. Lidt ala 2 gange salt.

Hvis det er til password-hashing, så vil jeg klart fraråde at bruge md5 og sha1, deres eksekverings-hastighed er simpelthen for hurtig.

En moderne computer med et forholdsvist kraftigt grafikkort kan ved hjælp af bruteforce køre disse metoder mange gange i løbet af ingen tid, og derved finde frem til den hash du har i din db. Det er selvfølgelig afhængigt af hvilke tegn der er tillads i passwordet og hvor langt det er.

Tag hellere et kig på crypt-metoden og især blowfish-algoritmen.

Gode gamle Jeff Atwood har mere om det her: http://www.codinghorror.com/blog/2007/09/youre-probably-storing-passwords-incorrectly.html

Brug sha1.

det skal bruges til at høre omkring hvad der er bedste :)

Jeg tror ikke helt du har forstået mig Jesper.

Alt efter hvad du ønsker at bruge det til har MD5 og SHA1 hver sine fordele.

MD5 er hurtigt at beregne og bruges derfor ofte til checksumme af filer, mens SHA1 er "lidt" langsommere og derfor ikke så hurtigt kan brydes med bruteforce.

Tilføjer du Salt til din SHA1 hashing så vil en angriber ikke kunne bruge en rainbow table (samling af hash og deres afkodning) til noget, men skal i stedet til at generere en hel ny table for det, laver du samtidigt salt random så skal den regeres for hvert password hvilket gør systemet endnu sværere at angribe.


Jeg vil mene at til passwords er SHA1 en nem løsning der er et tradeof mellem hurtighed og nemhed - der er indbygget funktioner i php til det.

Hvad jeg ville gøre ville være noget lig #10 http://www.eksperten.dk/spm/953988#reply_7884081


Det kan godt være det tager noget tid at sætte dig ind i det, men det er noget du skal sætte dig ind i på et tidspunkt så hvorfor ikke sætte sig ind i det nu.

sha1 er væsentligt bedre end md5 - man bør også altid bruge salt, som forhindrer brugen af rainbow tables.

Du kan også bruge f.eks. SHA256 - Funktionen hash er enablet som default i PHP: http://dk2.php.net/hash - den har hash algoritmer :)

<ole>

@larste: Hvordan kan en funktions gode performance blive et problem for dig?

Under alle omstændigheder kalder du vel et sleep på et halvt eller helt sekund, når brugeren logger ind. Det har efterhånden været almindelig praksis i mange år, og det gør det overordentlig surt at forsøge sig med brute force - hvorimod det ikke generer brugeren i væsentlig grad.

/mvh
</bole>

@olebole: Ved at kalde sleep er der ikke noget problem. Synes dog ikke rigtigt at det fremgår af nogle af de andre svar. Det er nu en gang svært for tråd-starter at gætte almindelig praksis, hvis ingen folk fortæller det.

Crypt, har med blowfish-algoritmen, cost-parameteren der også kan hjælpe med hastigheden.

Men det glæder mig  at jeg ikke er den eneste der er bekymret over dette. :)

@olebole: Ellers har jeg ingen problemer med en funktions gode perfomance. Jeg mener dog også at jeg skriver, at det er ved det snævre topic password-hashing, jeg har et problem.

Ved at kalde sleep er der ikke noget problem. Synes dog ikke rigtigt at det fremgår af nogle af de andre svar. Det er nu en gang svært for tråd-starter at gætte almindelig praksis, hvis ingen folk fortæller det. >> Præcis! Så meget desto mindre grund til at gøre det modsatte  *o)

@olebole: Men hvorfor kalde en ekstra metode, hvis man nu kan løse det med et kald?

Hold nu op! Både du og jeg ved, jeg ikke behøver at forklare mere, ikk'?  *o)

Tjae, ud fra dit svar føler jeg mig nu ualmindelig dum, for jeg vil da gerne vide hvad der er galt med min metode?

Skal vi ikke være enige om, at du lægger ud med at forkaste to funktioner - udelukkende med det argument, at de performer for godt?

Dernæst prøver du en sær bortforklaring med en begrundelse, at andre ikke havde oplyst spørgeren om 'almindelig praksis'.

Der er absolut intet i vejen med Crypt eller Blowfish - men resten af din argumentation virker lidt desparat

Vi er enige om at jeg forkaster to metoder, når der er tale om password-hashing, da de performer for godt. Dette er min mening når det kommer til hashing af passwords. Jeg mener stadig at min første kommentar i denne tråd giver udtryk for dette.

Jeg er helt med på, at ved at kalde sleep under login-proceduren, gør man det noget sværere at bruge brute-force - jeg mener dog ikke at jeg forsøger at bortforklare noget (hvad skal jeg bortforklare, min personlige mening om password-hashing?). Det som du kalder bortforklaring kalder jeg en kommentar til din kommentar, hvis jeg derimod ikke har formuleret mig godt nok, er det selvfølgelig min fejl.

"Vi er enige om at jeg forkaster to metoder, når der er tale om password-hashing, da de performer for godt. Dette er min mening når det kommer til hashing af passwords. Jeg mener stadig at min første kommentar i denne tråd giver udtryk for dette." >> Det er præcis det, jeg mener, du har alle gode grunde til at forsøge at bortforklare - og det var det, jeg troede, du var ude i. Det var tydeligvis et udslag af overvurdering fra min side.

Anyway, så lad os i det mindste være enige om, at vi er dybt uenige  =)

"Det er præcis det, jeg mener, du har alle gode grunde til at forsøge at bortforklare - og det var det, jeg troede, du var ude i. Det var tydeligvis et udslag af overvurdering fra min side."
- Jeg forstår simpelthen ikke hvad du mener her, hvad er det for grunde jeg har til at bortforklare? Og behøver du at komme med nedladende kommentarer såsom at du overvurderer mig?

"Anyway, så lad os i det mindste være enige om, at vi er dybt uenige  =)"
- Det kan vi ihvertfald blive enige om :)

- fint  =)

okay jeg luukker selv den her samtale hvis i mener at i skal have noget for det så tag kontakt til mig PÅ PM :)