Formatering af kodeord

Du kan ikke gå fra en MD5 hash tilbage til en string, uden at have massive computer ressourcer. Prøv at søge på "login system" på google, så får du sikkert en masse idéer til sikkerheden omkring kodeord.

Hvis du vil sikre at andre ikke får fat i folks password, skal du gøre som Robert forklarede i sit svar. Jeg vil dog anbefale at bruge sha1 istedet for md5, da den skulle være langt sværere (umulig?) at "knække"

generelt er man forholdsvis sikker, hvis man skriver sin egen hashing algoritme

Ja, hvis man har en universitetsgrad i kryptografi og en helvedes masse års erfaring, og viser resultatet frem til offentlig skue.

Nej, hashing algoritmer såvel som andre kryptografiske algoritmer er bedst overladt til eksperterne.

Ja, hvis man stå over for en rigtig hacker er det rigtigt! Men hvad hvis det er en der bare prøver at bruteforce? Så er man jo egentlig sikret..?

Nej. For alle hashing algoritmer giver kollisioner. En dårligt designet hashing algoritme giver mange kollisioner, så bruteforce bliver meget nemmere.

Men i det hele taget...hvorfor lave sin egen, når der sha ligger derude klar til brug ?

Og selvom md5 siges at være usikker, så tvivler jeg stærkt på, at du (eller jeg for den sags skyld) kan lave noget, som bare tilnærmer sig dens sikkerhed og kvalitet.

Ja, ja, men når man brute-forcer gør man ofte brug af et program, som finder SHA1 hashen af en streng den generere og tjekker den i forhold til den SHA1 hash man har givet programmet. Når den så finder en kollision, viser det den til hackeren. Men hackeren kan i mit tilfælde så ikke bruge det, da min "SHA1" hash, er en "fake" SHA1 hash (som jeg allerede har forklaret).
Det er jo ikke fordi at hackeren har den til at submitte et kodeord til sitet for hver enkelt forsøg!

Og nej: Jeg siger ikke at min algoritme er sikrere end SHA1, jeg siger bare at den er sværere end at cracke end SHA1 fordi der ikke er udviklet nogle cracker-tools til det..

Der findes masser af værktøjer, som bruteforcer direkte mod web serveren.

Hvor beregner du dit hash ? På klient eller server ?

Hvis det er på serveren, så giver det alligevel ikke mening at bruteforce på klienten, for man har ikke noget at sammenligne med.

Jamen det er skam ikke sikkerhed jeg leder efter, det er kryptering af kodeord og adresser i min database.

Jamen det er skam ikke sikkerhed jeg leder efter, det er kryptering af kodeord og adresser i min database.

md5 er ikke kryptering. Det er en slags tværsum, som beregnes fra en streng. Du kan ikke gå fra tværsummen tilbage til det oprindelige.

Hvis du ikke har behov for at have det oprindelige password, så er det en meget god idé kun at gemme md5 summen i stedet:

INSERT INTO users(name, password) VALUES("bob", md5("very secret"));

...og for at tjekke om brugernavn og password stemmer:

SELECT * FROM users WHERE name="bob" AND password=md5("very secret");

Jamen det er skam ikke sikkerhed jeg leder efter, det er kryptering af kodeord og adresser i min database.

hvad er formålet med den kryptering hvis det ikke er sikkerhed?

Det er jo sikkerhed for at andre ikke kan "nakke" oplysningerne.

Brug mcrypt.... her kan du kryptere og dekryptere.

http://mcrypt.sourceforge.net/

http://se.php.net/mcrypt

Hvis du vil sikre at andre ikke får fat i folks password, skal du gøre som Robert forklarede i sit svar. Jeg vil dog anbefale at bruge sha1 istedet for md5, da den skulle være langt sværere (umulig?) at "knække"

AH, langt fra umulig, det tager bare længere tid at brute-force.

Jeg bruger personligt en lidt sær blanding:
Jeg finder SHA1 af passwordet, og laver derefter en kryptering af SHA1 strengen der får strengen stadig til at ligne en SHA1 hash. Hvis hackeren så skulle få adgang til hashene, ville han ikke kunne brute-force det kodeord, da det skal decryptes med min (forholdsvis) simple algoritme.