php - gøre min password mere sikkert - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

<< < 1 2 > >>

Bruger #16353 @ 11.12.11 11:08

Hej

Jeg har fået lavet et indhold side op og køre så vil jeg dog lige høre jer omkring hvordan jeg kan gøre siden mere sikkert.

jeg har høret noget omkring md5 skal man skrive i php men ved ingen gang hvad det er ?.

Håber du kan hjælp mig

13 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 1 karma

Sorter efter stemmer Sorter efter dato

Bruger #4487 @ 11.12.11 11:43

1.384

Du kan også bruge hash( hash_algoritme, tekst ) funktionen. Der findes flere og faktisk mere sikre metoder end MD5 Hash. En god ide er at 'krydre' dit hash med noget salt og peber. Et eksempel på en funktion kunne være således.

PHP kode

 function hash_pass( $password )
 {
    //Salt og peber!
    $salt = "14n213JJ12";
    $pepper = "KDS4qd11FFPL";
 
    return hash("sha512", $salt . $password . $pepper);
 }

De algoritmer du kan bruge til hashing findes der en liste af her - http://dk2.php.net/manual/en/function.hash-algos.php

Det smarte ved at 'hashe' sit password, er at du kan lave det om, så det ikke er læsbart for almindelige mennesker. Hvis du dog ikke krydrer det med 'salt og peber', kan nogle af dem ofte knækkes nemt. Specielt MD5 er rimelig nem at knække, man har endda lavet en side, hvorpå du kan dekode en MD5 hash og få svaret! - http://www.md5decrypter.com/ - Prøv f.eks. at dekode dette 81d6f316d169150d0e8733866c38684d, det skulle gerne give svaret martin

Indlæg senest redigeret d. 11.12.2011 13:30 af Bruger #4487

Bruger #4487 @ 11.12.11 22:02

1.384

du kan gøre noget i den her stil

PHP kode

 class password {
 
   public function generateSalt($string) {
     $len = strlen($string);
     if ($len == 0) {
       return "";
     }
     return "#mySaLT/$len%55820" . (2 * $len) . "35%45+" . $string[0] . $string[$len - 1] . "?HdT:RSg_gwlpSx";
   }
 
   public function hash($str, $salt=null) {
     if ($salt == null) {
       $salt = $this->generateSalt($str);
     }
 
     $str = $salt . $str;
     return sha1($str);
   }
 
 }

PHP kode

 //dynamisk salt:
 $pass   = password::hash($_POST["password"]);
 
 //statisk salt:
 $pass2  = password::hash($_POST["password"], "mitSlat_ABC!123");

er ikke testet, lige hurtigt sat sammen.

Går ud fra at metoden generateSalt() generer saltet, gennem en tekst streng som er givet i parameteren. Denne metode skulle måske i virkeligheden være privat, da det er en metode der i min optik kun ser ud til at skulle bruges i sammenhæng med metoden hash($str, $salt). Metoden hash() er så den metode der generer dit hashed password med et sha1 hash, hvor ens $str er 'krydret' med noget genereret salt. Man kan sige at hele denne opsætning ligner lidt det jeg lavede, men kenneth har bare opsat det med en klasse, så man kan kalde den fra et objekt.

Der er i øvrigt en fejl, da metoden bliver kaldt som statisk metode, men den er ikke erklæret statisk. Metoden skulle enten have været erklæret statisk, ellers skulle man have oprettet et objekt af klassesn først, som nedenstående.

PHP kode

 //opret objekt.
 $pass_obj = new Password();
 
 //dynamisk salt:
 $pass   = $pass_obj->hash($_POST["password"]);
 
 //statisk salt:
 $pass2  = $pass_obj->hash($_POST["password"], "mitSlat_ABC!123");

Indlæg senest redigeret d. 11.12.2011 22:03 af Bruger #4487

Bruger #16838 @ 11.12.11 11:14

169

md5(Din kode her);

Det er den funktion du leder efter.

Bruger #16838 @ 11.12.11 11:38

169

Når de opretter en bruger

$password = md5($_POST['password'];

Og så sæt $password ind i mysql.

Når en bruger skal logge ind så.

$password = md5($_POST['password'];
select from ? where pass = $password and brugernavn = $posted_brugernavn

Noget ligende det.

Bruger #16353 @ 11.12.11 11:29

-108

Jamen hvad skal jeg skrive af kode?

Bruger #11328 @ 11.12.11 18:56

1.323

@Martin: MD5Decrypter er ikke en egentlig decrypter, men benytter et rainbowtable af indtastede og i forvejen oversatte tekststrenge. Men ja, giver dig ret i at MD5 er langt mere usikker end fx SHA1

Bruger #16025 @ 11.12.11 19:11

442

Der findes også sha1 "decrypter" - har jeg ihvertfald set på Google. Jeg ville foreslå en crypt(), eller ligesom @Martin skriver, en hash.

Bruger #16838 @ 11.12.11 19:33

169

Ville der egentlig være noget galt med at indkryptere et password
og så indkryptere det indkrypteret?

Bruger #11328 @ 11.12.11 19:56

1.323

@Anders, Ja! Det ville nedsætte antallet af mulige udfald, og derved gøre nemmere at bryde med bruteforce.

Bruger #3427 @ 11.12.11 21:05

1.520

du kan gøre noget i den her stil

PHP kode

 class password {
 
   public function generateSalt($string) {
     $len = strlen($string);
     if ($len == 0) {
       return "";
     }
     return "#mySaLT/$len%55820" . (2 * $len) . "35%45+" . $string[0] . $string[$len - 1] . "?HdT:RSg_gwlpSx";
   }
 
   public function hash($str, $salt=null) {
     if ($salt == null) {
       $salt = $this->generateSalt($str);
     }
 
     $str = $salt . $str;
     return sha1($str);
   }
 
 }

PHP kode

 //dynamisk salt:
 $pass   = password::hash($_POST["password"]);
 
 //statisk salt:
 $pass2  = password::hash($_POST["password"], "mitSlat_ABC!123");

er ikke testet, lige hurtigt sat sammen.

<< < 1 2 > >>

gøre min password mere sikkert

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler