Salve , ho un db con le password utenti criptate in sha1 , pensate che con la normativa gdpr possa essere sufficente o devo migrare a qualcosa di più sicuro , se si sha256 può bastare ?
Salve , ho un db con le password utenti criptate in sha1 , pensate che con la normativa gdpr possa essere sufficente o devo migrare a qualcosa di più sicuro , se si sha256 può bastare ?
Penso dipenda anche dalla politica che hai di scelta password, minimo 7 caratteri con lettera maiuscola e minuscola, numeri e caratteri.
Per intenderci, se una password e' 12345, sha1 non serve a nulla, perche' e' facilemente codificabile.
Io utilizzo sha512 e prima di convertirlo inoltre utilizzo una mia password.
Esempio, non e' la stessa cosa calcolare sha1 di:
che fare questo:codice:sha1("12345");
In questo modo risulta piu' complesso!codice:$mia_password_interna_inizio="Gijuhgfsbfijkg/&%gb474;dfg_�;"; $mia_password_interna_fine="T8HGIKJ/&hbkjdsfoOUIHBb �d�deewh12345_"; sha1($mia_password_interna_inizio."12345".$mia_password_interna_fine);
Comunque lunedi' chiedo conferma in ufficio e ti faccio sapere se puoi utilizzare solo sha1, dal momento che abbiamo un esperto che si dedica principalmente a quello (la nuova normativa).
Per quanto mi riguarda su un nuovo progetto, i dati sensibili, li sto salvando tutti con una codifica sincrona all'interno del DB: in modo che, se un malintenzionato dovesse mettere le mani sul DB, senza codice PHP, non potrebbe decifrare nulla.
Roberto
Ultima modifica di robynosse; 11-05-2018 a 18:38
Ho chiesto, è sufficciente sha1, ma devi implementare una politica di passwrod sicura, ovvero:
minimo 8 caratteri, maiuscole minuscole, numeri e lettere