Passwd Hash
-
Hey kennt sich einer aus?
Will ein Passwort speicher... mein Weg aktuell:
base64_encode(sha1($Passwd ^ $Salt) ^ $MASTER_KEY)
sieht da einer was dran zu nörgeln?
falls es einer noch nicht bekommen hat... crypt() is der letzte Dreck... sobald das Passwort eingegeben ist, kann eine beliebige Zeichenfolge danach kommen, liefert trotzdem den gleichen Hash zurück. Weiß nicht ob das nur bei mir so ist...
also: crypt(pussy, salt) liefert den gleichen hash wie crypt(pussy123, salt)... soll das so sein?? dann hab ichs falsch verstanden.
deswegen nehm ich jetzt nen anderen weg(oben)
kann man den als sicher bezeichnen?
-
-
kannst du lesen?
wieder son "ach ich post einfach mal nen link und tu auf schlau" typ...
-.-gelesen was das problem ist? er generiert für die tatsache dass der stamm des passworts gleich ist die selben hashes...
dh... für x und y kommt z als hash raus...
-
Ich kenn mich mit PHP nicht aus und habe keine Ahnung, warum sich crypt so seltsam verhält.
Aber dein "xor-Fix" ist genauso sicher wie ein normales sha1($Passwd) (also unsicher, da sha1 broken). Beispiel: Angenommen ich habe einen Account bei dir und kenne den auf dem Server gespeicherten Hash von meinem Account. Ich berechne einfach sha1("bekanntes Passwort" ^ $Salt), rechne xor den Server-Hash und erhalte den Master-Key.
-
af2ztsdf schrieb:
gelesen was das problem ist? er generiert für die tatsache dass der stamm des passworts gleich ist die selben hashes...
dann solltest du auch lesen was in dem Link steht. Das hast du nämlich nicht. Sonst würdest du einerseits nicht so verwundert über dieses Verhalten sein, sondern andererseits auch wissen, was man machen muss damit es nicht auftritt.
Immer lustig wie jemand meint bewährte Funktionen mit xor outsmarten können zu wollen. base64_encode ist da nur das Krönchen
-
-
In PHP haben wir mittlerweile (lange hats gedauert): password_hash.
Ich empfehle aber jeden dennoch cooky451s Link zu lesen und dann password_hash zu verwenden.
Wer noch kein php5.5 im Einsatz hat, hier ist die compat Funktion: https://github.com/ircmaxell/password_compat