Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) .......
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-02 17:53:14.060000
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) .
Какие есть идеи у кого какие предпочтения 8|
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-02 18:04:37.456666
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
Никак не хранить, юзер сам должен его помнить.
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 00:01:45.513333
|
|
|
Tbird
Сообщений: 25
Оценки: 0
Присоединился: 2007-01-27 00:10:59.766666
|
как так) а сверять с чем?))
в мд5 храни.. не полная гарантия.. но если пароль хороший не отроют..
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 01:49:48.893333
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
quote:
Никак не хранить, юзер сам должен его помнить.
один минус юзеру это не обьяснишь [sm=001.gif]
quote:
в мд5 храни.. не полная гарантия.. но если пароль хороший не отроют..
Ты предпочетаешь хранить в базе пароли прогноные через md5.
а как ты их прогоняешь через PHP или через MySQL
я лично предпочитаю сначало смешиваю пароль с логином и потом толко sh1 и после md5
в принципе получается на пару строк длинее но надежнее
что ты думаешь о таком потходе [sm=18.gif]
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 01:52:56.446666
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
Вопрос в другом…….
Как мы делаем это одно а как как грамотней ?
что то вроде
x++; или x=x+1;
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 07:28:11.073333
|
|
|
Net_FOX
Сообщений: 126
Оценки: 0
Присоединился: 2005-01-24 16:25:37
|
двойной мд5 после чего его уже брутофорснуть нельзя =)
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 09:28:13.343333
|
|
|
je0n
Сообщений: 126
Оценки: 0
Присоединился: 2004-07-05 23:40:07
|
quote:
один минус юзеру это не обьяснишь
если эта реплика по поводу востановления пароля юзеру, то только один вариант (если хранишь в md5) - создаешь новый пароль и отправляешь его юзеру. А он пусть меняет его на какой ему удобно.
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 10:15:09.776666
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
quote:
ORIGINAL: Tbird
как так) а сверять с чем?))
А для того, чтобы проверить пароль необязательно его хранить. Ты же не хочешь сказать, что md5 - это способ хранения пароля.
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 11:16:56.990000
|
|
|
kolPeeX
Сообщений: 1456
Оценки: 0
Присоединился: 2007-01-25 14:57:57.683333
|
2 Net_FOX, ещё как можно, PasswordPro может подбирать пароль даже к md5(md5($pass)), как и обычный md5($pass), просто он сравнивает md5(md5($pass)) с исходником
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 13:47:13.560000
|
|
|
Tbird
Сообщений: 25
Оценки: 0
Присоединился: 2007-01-27 00:10:59.766666
|
нет, это конечно не хранение самого пароля но ведь по хэшу в некоторых случаях можно найти оригинал.. а кто-нибудь видел проги которые будут искать оригинал как дополнение некой строки.. к примеру в случае с логином будет искать оригинал в подмножестве user* чего-то там?
кстати, есть еще вариант добавлять определенные символы между буквами пароля тогда если пароль простой хэш все равно будет трудно найти.. а символы можно брать по какой-нибудь заковыристой закономерности
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 23:11:29.623333
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
quote:
ORIGINAL: Lex_Voodoo
quote:
ORIGINAL: Tbird
как так) а сверять с чем?))
А для того, чтобы проверить пароль необязательно его хранить. Ты же не хочешь сказать, что md5 - это способ хранения пароля.
а вот с этого момента по подробней если можно…… как это пароль необязательно хранить а с чем его сравновать???[sm=bn.gif]
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 23:23:17.663333
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
quote:
ORIGINAL: Tbird
нет, это конечно не хранение самого пароля но ведь по хэшу в некоторых случаях можно найти оригинал.. а кто-нибудь видел проги которые будут искать оригинал как дополнение некой строки.. к примеру в случае с логином будет искать оригинал в подмножестве user* чего-то там?
кстати, есть еще вариант добавлять определенные символы между буквами пароля тогда если пароль простой хэш все равно будет трудно найти.. а символы можно брать по какой-нибудь заковыристой закономерности
в этой области можно извращаться как хочишь. например до окончателного мд5 можно прогнать через Пифагора или создать себе какой-нибуть ключ и смешивать как душе угодно, минус в том что код получается очень массивным
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 23:24:19.883333
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
quote:
в этой области можно извращаться как хочишь. например до окончателного мд5 можно прогнать через Пифагора или создать себе какой-нибуть ключ и смешивать как душе угодно, минус в том что код получается очень массивным
Код массивным не получится.
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 23:33:33.073333
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
минуту я не догнал пароль в базе или нет?????[sm=dc.gif]
если нет то где он хранится и как идет идентификация что это именно этот юзер??????[sm=bn.gif]
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 23:44:53.110000
|
|
|
Tbird
Сообщений: 25
Оценки: 0
Присоединился: 2007-01-27 00:10:59.766666
|
в базе хранишь только хэш пароля.. а когда пользователь снова вводит пароль ты берешь от него хэш и сверяешь с тем что в базе.. то есть сам пароль ты не знаешь и в базе формально его нет, только хэш и восстановить его уже нельзя, если пользователь его теряет, просто делаешь ему новый пароль
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-03 23:50:54.106666
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
ааааа понятно :)
я понял так что не пароль не логин в базу не садятся [sm=ah.gif]
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 00:07:01.263333
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
как правилней пароль посылать в ДБ через PHP функции или MySQL-овскими ????
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 00:45:05.663333
|
|
|
Tbird
Сообщений: 25
Оценки: 0
Присоединился: 2007-01-27 00:10:59.766666
|
я в коде делаю.. мне так удобнее.. а какая разница?
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 00:51:33.956666
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
Если чесно не знаю я то же через ПХП посилаю.
Не помню где прочитал что через MySQL быстрее работает (помогает при загружених серверах) на насколко ето так не могу сказать не пробивал
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 13:13:48.913333
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
Хеширование полезно для защиты пароля от хакеров. Ясно, что хранить просто md5($pass) не есть гуд, ибо как только хакер видит нечто 32-символьное и похожее на md5, его рука автоматом тянется к PasswordsPro.
Насчёт супер-пупер алгоритмов с вычислением арктангенсов от суммы всех символов в десятичной системе, взятой в степени -1 и т.д.:
Вариант 1. Хакер имеет доступ только к базе.
В этом случае md5('1' . md5($pass)) будет столь же хорошей защитой, что и md5(sha1(crc32(substr(md5($pass), 2))));
В обоих случаях он видит, что в базе MD5, но, не зная алгоритма хеширования, написать переборщик не сможет.
Вариант 2. Хакер имеет доступ как к базе, так и к исходникам.
В этом случае снова нет никакой разницы, используете вы md5('1' . md5($pass)) или md5(sha1(crc32(substr(md5($pass), 2))));
Т.к. если он будет писать свой переборщик, ему всё равно, по какому алгоритму будет вестись перебор.
Отсюда вывод - нет разницы, какое хеширование юзать, лишь бы в итоге получалось нечто похожее на md5. Ну кроме самого md5, естественно.
Насчёт второго варианта, как всё-таки в этом случае избежать кражи аккаунтов:
1. Для параноиков. Можно написать такой алгоритм, который будет вычислять хеш для одного пароля офигенно долго, например, секунду, или две. Тогда даже если хакер знает алгоритм, любой перебор становится бессмысленным. Только надо ли это? ИМХО лучше научиться писать без багов, чтобы базу не стянули.
2. Для мазохистов, ещё один хороший вариант - генерировать пароли самому как строку длиной > 10 символов и не давать юзерам менять пароли на собственные слова, пусть как хочет, так и запоминает. В этом случае подойдёт и простой md5, всё равно так долго подбирать никто не будет.
Выбирайте :)
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 13:19:00.516666
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
quote:
ORIGINAL: _KаShpErovskiI_
Если чесно не знаю я то же через ПХП посилаю.
Не помню где прочитал что через MySQL быстрее работает (помогает при загружених серверах) на насколко ето так не могу сказать не пробивал
MySQL обычно самое узкое место в системе. Если есть возможность её разгрузить, лучше этой возможностью не пренебрегать, т.к. распределить нагрузку PHP на несколько серверов намного проще, чем MySQL.
Сейчас работаю над проектом, в котором уже сейчас каждые 20 секунд регистрируется новый юзер. Нагрузка на 3х процессорные сервера с 3 Гб памяти прямо так скажем нехилая, и порой приходится избегать MySQL-JOIN и заменять их на PHP-JOIN. Ну это для тех, кто знает, что такое JOIN :))
Короче все вычисления лучше делать средствами PHP, а не MySQL, лучше сразу приучаться к хорошему стилю :)
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 14:28:12.010000
|
|
|
Tbird
Сообщений: 25
Оценки: 0
Присоединился: 2007-01-27 00:10:59.766666
|
да мускул как правило притормаживает.. но бывает что и интерпретатор висит.. у меня на сайте студсоюза очень часто такое.. хотя хостинг блин рбц
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 17:50:52.193333
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
quote:
Сейчас работаю над проектом, в котором уже сейчас каждые 20 секунд регистрируется новый юзер. Нагрузка на 3х процессорные сервера с 3 Гб памяти прямо так скажем нехилая, и порой приходится избегать MySQL-JOIN и заменять их на PHP-JOIN.
Сорри за небольшой оффтоп. Лекс, ORM и свой обработчик сессий юзаешь?)
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 19:44:33.866666
|
|
|
halkfild
Сообщений: 286
Оценки: 0
Присоединился: 2006-11-27 18:26:36.310000
|
комбинированый хеш с ксором и для пущей уверености закодируй исходкики Зендом:D
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-04 20:21:56.126666
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
quote:
ORIGINAL: Сhaos_Сode
quote:
Сейчас работаю над проектом, в котором уже сейчас каждые 20 секунд регистрируется новый юзер. Нагрузка на 3х процессорные сервера с 3 Гб памяти прямо так скажем нехилая, и порой приходится избегать MySQL-JOIN и заменять их на PHP-JOIN.
Сорри за небольшой оффтоп. Лекс, ORM и свой обработчик сессий юзаешь?)
Сторонний ORM не юзаем, маппинг на основе собственных разработок само собой имеется.
С сессиями там всё сложно… три уровня идентификаторов.. короче лучше не вникать :)
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-05 07:01:55.676666
|
|
|
Net_FOX
Сообщений: 126
Оценки: 0
Присоединился: 2005-01-24 16:25:37
|
quote:
Вариант 1. Хакер имеет доступ к базе.
В этом случае md5('1' . md5($pass)) будет столь же хорошей защитой, что и sha1(crc32(substr(md5($pass), 2)));
В обоих случаях он видит, что в базе MD5, но, не зная алгоритма хеширования, написать переборщик не сможет.
Оригинально надо попробовать!
|
|
|
|
|
RE: Опрос: Kак правильно(грамотно) сохранять и хранить пароли в ДБ(MySQL) ....... - 2007-02-06 18:36:56.730000
|
|
|
_KаShpErovskiI_
Сообщений: 30
Оценки: 0
Присоединился: 2006-12-29 15:40:44.210000
|
Так как 90% заказчиков параноики и садисты ;) они предпочтут и то и другое [sm=bm.gif]
|
|
|
|
|
|
