kryptering af password (crypt)
Hej.jeg er igang med at kigge lidt på kryptering af passwords til min hjemmeside.
og jeg er stødt på php funktionen crypt()
og har lejet lidt med det, og så vidt jeg kan se er CRYPT_BLOWFISH den sikreste måde at benytte denne kryptering, eller tager jeg fejl?
jeg forsøgt lidt med
crypt('pass' , '$2a$07$kiuhgfslerdaneltiskepb$')
og utallige andre. men jeg kan ikke rigtig se hvor det smarte er i dette, da selve salt-string kommer med i resultaterne
ovenstående kommando vil give noget lignende
$2a$07$kiuhgfslerdaneltiskepO8F-BbPevxPSVWNCfi6qZU6wQVi.CLqYi
hvor starten af den er det samme som selve salt'en
hvis man så ved en fejl får skrevet det kryterede password ud på skærmen (fx ved et indbrud på hjemmeisden eller en sql injecktion)
så er det vel ikke så svært at finde selve passwordet til denne da man jo har salt'en?
(jeg er godt klar over der ikke er en direkte decrypt funktion til denne, da crypt() er en one way encryption, men det kan da stadig laves om rimelig let)
er der nogle der kan forklare mig om det alligevel er sikkert at bruge denne funktion eller om jeg kan bruge en anden funktion.
eller om det bare er mig der har misforstået noget?
Mvh Anders
