Bruger du kryptering/hashing af dine brugers kodeord?
|
Hej. Sad her til aften og tænkte på om folk generelt bruger kryptering/hashing af deres bruges kodeord? Hvorfor/Hvorfor ikke. Hvordan gør I? - Smækker i blot en md5 på, eller noget mere kompliceret? Selv synes jeg at jeg bruger noget meget sikkert, og har endnu ikke fundet nogle rainbow tables hvor mine brugers kodeord kunne slås op! Bruger selv noget lignende dette:
Så hvis $_POST['kodeord'] indeholder poul, så vil det få tilføjet ekstra, så det vil være: 3KattepoulKds€2 der krypteres.. Så nu skal hackeren vide hvad jeg kommer på ekstra (også kaldet salt). Et lille opslag på http://www.passwordmeter.com, viser at poul kun får 6% mens 3KattepoulKds€2 får 90%. Men hvordan gør du ? :) |
|
| jeg bruger 2 stk's md5 |
Oprettet af:
 Kommentar |
|
Okay. Har du nogensinde haft problemer med det ? Sidst redigeret 21:43 18/01/2009 |
Oprettet af:
Kommentar |
| Men kan da egentlig godt se det gode i det du gør det. Kunne være man selv skulle overveje det. |
Oprettet af:
Kommentar |
| Problemer? Kommer an på hvad du mener med det :) ? Men nej det fungere ganske glimrende :) |
Oprettet af:
Kommentar |
|
Okay... Man kunne selvfølgelig også lave sin egen kryptering med str_replace a=£dn3 b=n32 c=9n4 osv. Hvorefter man så hashede sin egen kryptering, så vil man efterhånden få noget der bliver svært at knække ! |
Oprettet af:
Kommentar |
| ja der er mange måder at gøre det på. Men str'en ser rimelig god ud :P ! |
Oprettet af:
Kommentar |
| Bruger bare en simpel MD5 hash. |
Oprettet af:
Kommentar |
|
Jeg benytter min egen metode, (md5->Salt). Mit salt ligner meget Fiskeren's, dog benytter jeg rand() til at lave forskelligt 'Salt' hvergang. Men fedt emne at tage op. :-) |
Oprettet af:
Kommentar |
|
mho skrev kl. 22:02 d. 18/01/2009 Jeg benytter min egen metode, (md5->Salt). Mit salt ligner meget Fiskeren's, dog benytter jeg rand() til at lave forskelligt 'Salt' hvergang. Hvis du laver forskelligt salt hver gang, gemmer du så i din bruger hvilke tal der er :)? Men fedt emne at tage op. :-) |
Oprettet af:
Kommentar |
|
Nicolas skrev kl. 21:59 d. 18/01/2009 Bruger bare en simpel MD5 hash. Så synes jeg du skulle prøve at tage dit eget kodeord, og se om du kan få det orginale kodeord ud af det:http://gdataonline.com/seekhash.php <- Dette er et link til en så kaldt rainbow table, hvis formål er at omdanne en md5 str til en den orginale str. Så en dobbelt md5, vil sikre dine brugers koedord dobbelt så godt :) Sidst redigeret 22:06 18/01/2009 |
Oprettet af:
Kommentar |
|
Nikolaj skrev kl. 22:05 d. 18/01/2009 mho skrev kl. 22:02 d. 18/01/2009 Jeg benytter min egen metode, (md5->Salt). Mit salt ligner meget Fiskeren's, dog benytter jeg rand() til at lave forskelligt 'Salt' hvergang. Hvis du laver forskelligt salt hver gang, gemmer du så i din bruger hvilke tal der er :)?Men fedt emne at tage op. :-) |
Oprettet af:
Kommentar |
|
Fiskeren skrev kl. 22:05 d. 18/01/2009 Nicolas skrev kl. 21:59 d. 18/01/2009 Bruger bare en simpel MD5 hash. Så synes jeg du skulle prøve at tage dit eget kodeord, og se om du kan få det orginale kodeord ud af det:http://gdataonline.com/seekhash.php <- Dette er et link til en så kaldt rainbow table, hvis formål er at omdanne en md5 str til en den orginale str. Så en dobbelt md5, vil sikre dine brugers koedord dobbelt så godt :) Derfor $passi = md5(md5(md5(md5(md5($passipassi))))); |
Oprettet af:
Kommentar |
|
simondk skrev kl. 22:15 d. 18/01/2009 Fiskeren skrev kl. 22:05 d. 18/01/2009 Nicolas skrev kl. 21:59 d. 18/01/2009 Bruger bare en simpel MD5 hash. Så synes jeg du skulle prøve at tage dit eget kodeord, og se om du kan få det orginale kodeord ud af det:http://gdataonline.com/seekhash.php <- Dette er et link til en så kaldt rainbow table, hvis formål er at omdanne en md5 str til en den orginale str. Så en dobbelt md5, vil sikre dine brugers koedord dobbelt så godt :) Derfor $passi = md5(md5(md5(md5(md5($passipassi))))); Og selvf også andre sikkerheds funktioner.. |
Oprettet af:
Kommentar |
|
Jeg plejedede kun at bruge md5 men jeg er begyndt at eksperimentere med et lille mix af sha1, md5, base64, rot13(og andre rotationer) og str_replace hvor jeg sætter dem sammen på forskellige måder. Selvom tal og matematik aldrig har passet ind i min lille hjerne har jeg nu altid haft det sjovt med at lege med forskellige krypterings metoder. |
Oprettet af:
Kommentar |
|
jeg laver en salt på 64 tegn med rand() og kører en md5 på denne og gemmer i databasen. Derefter lægger jeg passwd og et timestamp (for oprettelse, gemt i db) sammen og kører sha512 på dette og blander sammen med salt efter et sygt system, hvor jeg først kører en rand() på 32 tal (og gemmer i databasen) denne splitter jeg så op således at jeg har 32 tal. Jeg lægger første tegn i salten på en forud bestemt plads fx 35 og næste tegn i salten kommer så til at ligge på plads 36+$rand[2] osv. Efter jeg har blandet passwd og salt tilføjer jeg et forud bestemt salt2, fx "DFDSFsDsWEWrfWd#rdWE" som hashes med md5, til slutningen. Så i mit passwd-felt i databasen ligger 585 tegn + 3 andre felter :) Jeg husker det som enormt sjovt at lave =D EDIT: Men jeg kunne godt finde på at lave nogle flere krumspring. Hvorfor? Fordi jeg kan :P Det skulle så være noget hvor jeg begynder at konvertere til fx binære tal eller noget andet funny Sidst redigeret 02:21 19/01/2009 |
Oprettet af:
Kommentar |
|
DBR skrev kl. 02:18 d. 19/01/2009 jeg laver en salt på 64 tegn med rand() og kører en md5 på denne og gemmer i databasen. Derefter lægger jeg passwd og et timestamp (for oprettelse, gemt i db) sammen og kører sha512 på dette og blander sammen med salt efter et sygt system, hvor jeg først kører en rand() på 32 tal (og gemmer i databasen) denne splitter jeg så op således at jeg har 32 tal. Jeg lægger første tegn i salten på en forud bestemt plads fx 35 og næste tegn i salten kommer så til at ligge på plads 36+$rand[2] osv. Efter jeg har blandet passwd og salt tilføjer jeg et forud bestemt salt2, fx "DFDSFsDsWEWrfWd#rdWE" som hashes med md5, til slutningen. Så i mit passwd-felt i databasen ligger 585 tegn + 3 andre felter :) Jeg husker det som enormt sjovt at lave =D Når du netop gør så meget ud af din kryptering for at forhindre folk i at få fat i det originale kodeord, hvorfor hjælper du dem så ved at lægge hele opskriften op her på et offentligt forum? EDIT: Men jeg kunne godt finde på at lave nogle flere krumspring. Hvorfor? Fordi jeg kan :P Det skulle så være noget hvor jeg begynder at konvertere til fx binære tal eller noget andet funny |
Oprettet af:
Kommentar |
|
@tråden Jeg bruger bare en md5 til at kryptere. Men jeg er igang med at lave en ny funktion. Altså min egen password kryptering, for at være sikker på at passwordet ikke kan gættes / tages. __ak skrev kl. 09:43 d. 19/01/2009 DBR skrev kl. 02:18 d. 19/01/2009 jeg laver en salt på 64 tegn med rand() og kører en md5 på denne og gemmer i databasen. Derefter lægger jeg passwd og et timestamp (for oprettelse, gemt i db) sammen og kører sha512 på dette og blander sammen med salt efter et sygt system, hvor jeg først kører en rand() på 32 tal (og gemmer i databasen) denne splitter jeg så op således at jeg har 32 tal. Jeg lægger første tegn i salten på en forud bestemt plads fx 35 og næste tegn i salten kommer så til at ligge på plads 36+$rand[2] osv. Efter jeg har blandet passwd og salt tilføjer jeg et forud bestemt salt2, fx "DFDSFsDsWEWrfWd#rdWE" som hashes med md5, til slutningen. Så i mit passwd-felt i databasen ligger 585 tegn + 3 andre felter :) Jeg husker det som enormt sjovt at lave =D Når du netop gør så meget ud af din kryptering for at forhindre folk i at få fat i det originale kodeord, hvorfor hjælper du dem så ved at lægge hele opskriften op her på et offentligt forum?EDIT: Men jeg kunne godt finde på at lave nogle flere krumspring. Hvorfor? Fordi jeg kan :P Det skulle så være noget hvor jeg begynder at konvertere til fx binære tal eller noget andet funny Enig O_o simondk skrev kl. 22:16 d. 18/01/2009 simondk skrev kl. 22:15 d. 18/01/2009 Fiskeren skrev kl. 22:05 d. 18/01/2009 Nicolas skrev kl. 21:59 d. 18/01/2009 Bruger bare en simpel MD5 hash. Så synes jeg du skulle prøve at tage dit eget kodeord, og se om du kan få det orginale kodeord ud af det:http://gdataonline.com/seekhash.php <- Dette er et link til en så kaldt rainbow table, hvis formål er at omdanne en md5 str til en den orginale str. Så en dobbelt md5, vil sikre dine brugers koedord dobbelt så godt :) Derfor $passi = md5(md5(md5(md5(md5($passipassi))))); Og selvf også andre sikkerheds funktioner.. Det var et par stykker md5 XD. Sidst redigeret 09:52 19/01/2009 |
Oprettet af:
Kommentar |
|
__ak skrev kl. 09:43 d. 19/01/2009 Når du netop gør så meget ud af din kryptering for at forhindre folk i at få fat i det originale kodeord, hvorfor hjælper du dem så ved at lægge hele opskriften op her på et offentligt forum? Jeg synes nu ikke det gør spor at han har forklaret sin fremgangsmåde. Det giver go' inspiration ;) |
Oprettet af:
Kommentar |
| Jeg plejer faktisk ikke og bruge md5 på mine koder. Men tror jeg vil til og læse lidt om det det :P |
Oprettet af:
Kommentar |
|
mho skrev kl. 22:02 d. 18/01/2009 Jeg benytter min egen metode, (md5->Salt). Mit salt ligner meget Fiskeren's, dog benytter jeg rand() til at lave forskelligt 'Salt' hvergang. Men fedt emne at tage op. :-) Det samme. |
Oprettet af:
Kommentar |
|
@__AK: Som Goatie siger - det er til inspiration. Og der er stadigvæk væsentlige punkter jeg ikke har oplyst som fx de to salte og hvor jeg starter blandingen. Selvfølgelig er det blevet lettere at regne ud, men ved du hvilken side vi snakker om? Egentligt har jeg ikke nogle sider hvor adgangssikringen behøves være så høj, jeg så det bare som spændende at lave :) http://dk.php.net/md5 <-- faktisk et rigtig godt link. Prøv at læse nogle af kommentarerne de kommer med mange ideer, og diskutere også brugbarheden i at hashe et hash fx md5(md5()) Sidst redigeret 15:34 19/01/2009 |
Oprettet af:
Kommentar |
|
lige pt nada :D men har leget med tanken om at lave mit eget.. men har gang i et større projekt, så jeg kommer til det :D |
Oprettet af:
Kommentar |
|
propper bare end md5 på min $_POST.. feks $kode = md5($_POST["kode"]); |
Oprettet af:
Kommentar |