CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

TheYaXxE Juniormester

07. juni 2013 - 18:19 Der er 6 kommentarer og
1 løsning

Sikre passwords med SALT

Hey. Jeg er i gang med at optimere mit login-system ved at bruge saltede passwords.

Jeg har inde på denne side:
http://crackstation.net/hashing-security.htm#attacks

læst at den bedste måde at lave sit SALT er ved at bruge CSPRNG til at generere en tilfældig, lang hash.

Jeg har prøvet at følge den guide på php.net, men syntes ikke rigtig at jeg kan få genereret en lang hash ved dette... Nogle der kan forklarer mig, hvordan man gør det rigtigt?

--------

Og nu når det handler om sikrede passwords, er det så ikke meget sikker at fx. bruge denne metode:

$password = "mitkodeord";
$email_password = substr($password, 0, 12);
$new_password = sha1($email_password);

?

- YaXxE

Synes godt om

arne_v Ekspert

07. juni 2013 - 18:38 #1

1)

Jeg er uenig med den artikel paa en del omraader.

Du kan laese mit tilgang her:
http://www.eksperten.dk/guide/1542

Det meste af uenigheden bunder nok i at argumenterne med lange salt som skal vaere baseret paa kryptografisk sikker RNG efter min mening er noget BS. Normalt vil salt blive stjaalet sammen med det hasheded password, saa de ting betyder ikke rigtigt noget.

2)

Du linker ikke til den guide paa php.net du ontaler og forklarer ikke hvad der ikke virker, saa det er svaert at hjaelpe med.

3)

Salt og hash drejer sig om hvordan password gemmes i DB. Det har intet at goere med hvordan du genererer passwords.

Den viste PHP snippet ser dybt suspekt ud. Man sender ikke passwords i emails. man trunkerer ikke passwords. Og man bruger ikke SHA1.

Synes godt om

TheYaXxE Juniormester

07. juni 2013 - 19:10 #2

Tror også jeg hælder mere til din guide, da den er en del nemmere at forstå ;)

Synes godt om

TheYaXxE Juniormester

07. juni 2013 - 19:14 #3

Sikkert et dumt spørgsmål, men hvordan bruger man SHA-256? :D

hash("sha256",$password)

eller noget i den retning? :S

Synes godt om

arne_v Ekspert

07. juni 2013 - 19:23 #4

Synes godt om

arne_v Ekspert

07. juni 2013 - 19:24 #5

hash('sha256', $pw)

eller altsaa:

hash('sha256', $salt . $pw)

Synes godt om

TheYaXxE Juniormester

07. juni 2013 - 20:20 #6

Super mange tak du ;)

Vil du have point?

Synes godt om

arne_v Ekspert

07. juni 2013 - 21:14 #7

svar

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Webudvikling kurser

Vi tilbyder markedets bedste kurser inden for webudvikling

Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
wp_delete_user virker ikke i Wordpress Af Ravnsen i PHP	2	21/08/202417:53	21/08/202422:03
php driller Af moscov i PHP	1	19/08/202415:09	20/08/202421:24
PHP alfabet Af John i PHP	4	10/08/202415:17	10/08/202417:47
Hent array key Af nemlig i PHP	3	17/05/202415:22	17/05/202416:30
iCal-feed og import til google kalender driller Af nemlig i PHP	11	09/05/202417:49	10/05/202421:28

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS