Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Программная инженерия > Безопасность, Шифрование
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 10.04.2018, 09:33   #11
Stanislav
Квадрокоптерист
Участник клуба Подтвердите свой е-майл
 
Регистрация: 29.09.2007
Сообщений: 1,824
По умолчанию

если я добавил рандомную соль или же захешал свой же хеш, то совпадения с базой хеша не будет. Перебрать хеши задача как я писал выше одинакова практически что у md5 что у sha различия лишь в вероятности коллизий

Цитата:
основное требование к хэш-функции - минимальная вероятность коллизий - нахождения другой входной строки, на котором хэш-функция выдаст тот же результат. Потому что всегда есть вероятность что хэш пароля password совпадет с хэшем пароля VFst4S3g5e%#%#gsgfdgb. И при попытке подобрать пароль по словарю или брутфорсом злоумышленника пустит на сайт под простым паролем.

Эта ситуация маловероятна, но тем не менее - вероятность коллизий в sha-1 намного меньше, чем в древнем md5
Но еще раз повторюсь в наше время нужно/желательно использовать двухфакторную аутентификацию..

p.s Взломать / подобрать можно вопрос времени. поэтому склоняюсь к тому что нужно иметь 2 степени проверки. что усложнит злоумышленникам жизнь.
Я часть той силы, что вечно хочет зла, но вечно совершает благо..

Последний раз редактировалось Stanislav; 10.04.2018 в 09:39.
Stanislav вне форума Ответить с цитированием
Старый 10.04.2018, 09:34   #12
ROM710
Форумчанин
 
Регистрация: 24.02.2014
Сообщений: 144
По умолчанию

Здравствуйте снова, меняю md5 на sha256 пароль вообще не записывается. Не найду подробных уроков. Кто что знает - подскажите.
ROM710 вне форума Ответить с цитированием
Старый 10.04.2018, 09:44   #13
ROM710
Форумчанин
 
Регистрация: 24.02.2014
Сообщений: 144
По умолчанию

Читая вашу переписку, я понял, что можно использовать md5 в конструкции md5(md5($pass)) . Как правильно вписать этот код подскажите.
ROM710 вне форума Ответить с цитированием
Старый 10.04.2018, 09:45   #14
Stanislav
Квадрокоптерист
Участник клуба Подтвердите свой е-майл
 
Регистрация: 29.09.2007
Сообщений: 1,824
По умолчанию

Что значит не записывается? в базу ? сделайте вывод того что получилось в результате хеширования, + проверьте размер поля в базе куда пишите.

Цитата:
Читая вашу переписку, я понял, что можно использовать md5 в конструкции md5(md5($pass)) . Как правильно вписать этот код подскажите.
это мы между собой так сказать, используйте более современные методы, пример я выше оставлял.
Я часть той силы, что вечно хочет зла, но вечно совершает благо..
Stanislav вне форума Ответить с цитированием
Старый 10.04.2018, 09:48   #15
Alex11223
Старожил
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,500
По умолчанию

Цитата:
Сообщение от Serge_Bliznykov Посмотреть сообщение
например, можете вычислить $pass для
Ну мне лень настраивать и проверять, но вот одна из первых ссылок в гугле за 2010 год: http://www.stealthcopter.com/blog/20...-acceleration/
266 мега хешей в секунду на средней GPU.

И речь о GPU, то есть за 8 лет должно было значительно ускориться.
+ GPU фермы, расспаралеливание
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом.
Alex11223 вне форума Ответить с цитированием
Старый 10.04.2018, 10:07   #16
Stanislav
Квадрокоптерист
Участник клуба Подтвердите свой е-майл
 
Регистрация: 29.09.2007
Сообщений: 1,824
По умолчанию

Alex11223 все верно пишите
Я часть той силы, что вечно хочет зла, но вечно совершает благо..
Stanislav вне форума Ответить с цитированием
Старый 10.04.2018, 10:28   #17
ROM710
Форумчанин
 
Регистрация: 24.02.2014
Сообщений: 144
По умолчанию

Да, я сейчас переделал - вставил код md5(md5($pass)) все работает. В бд вижу так же 32 знака, чем этот код отличается от md5 ?
Этот код - $options = array(
'cost' => 12,
);
$hash = password_hash($password, PASSWORD_BCRYPT, $options); пишет ошибку.
ROM710 вне форума Ответить с цитированием
Старый 10.04.2018, 10:30   #18
Alex11223
Старожил
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,500
По умолчанию

Тем, что bcrypt.
Цитата:
Сообщение от ROM710 Посмотреть сообщение
пишет ошибку
секретную?
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом.
Alex11223 вне форума Ответить с цитированием
Старый 10.04.2018, 10:43   #19
Serge_Bliznykov
Старожил
 
Регистрация: 09.01.2008
Сообщений: 26,238
По умолчанию

Цитата:
Сообщение от Alex11223 Посмотреть сообщение
266 мега хешей в секунду на средней GPU.
ну да, ну да..
полный перебор?
см. https://toster.ru/q/263739
ну, так, примерно,
2^128/300000000 ~ 3.40282367e38 / 3e8 ~ 1e30
разделим на число секунд в году
1e30/(3600*24*365)~ 3.17097919837646E+22
даже если за 8 лет перебор ускорился в миллиард раз и использовать ферму из миллиона компьютеров, то перебор займёт "всего" 3E7 - т.е. всего 30 миллионов лет. Это действительно достаточно быстро

p.s. про коллизии знаю...
p.p.s. и это не отменяет то, что MD5 устарел, поэтому нужно использовать sha-1/sha-2
Serge_Bliznykov вне форума Ответить с цитированием
Старый 10.04.2018, 10:56   #20
Alex11223
Старожил
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,500
По умолчанию

SHA1 вроде уже тоже не рекомендуется.
https://www.computerworld.com/articl...ly-unsafe.html
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом.
Alex11223 вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
INSERT в базу MYSQL Sergey_gorobets SQL, базы данных 1 16.06.2015 16:50
insert into mysql if not exist Abuhamed PHP 5 08.04.2012 18:59
Java + MySQL (Windows XP) не работает INSERT INTO Osanve Java Базы данных (JDBC, JPA, Hibernate) 10 28.06.2011 10:36
База Данных MySql не выполняется INSERT INTO vasylshvv Java Базы данных (JDBC, JPA, Hibernate) 6 04.08.2009 10:16
mysql проблемы с INSERT proglamer PHP 4 30.03.2008 14:36