recupero password md5. Mah?!?!?

[markzzz]

Salve a tutti.

Molti dicono di salvare/usare le password nel database in formato MD5, per visibilità/privacy ecc ecc. Io ho sempre usato questo meccanismo, in modo (anche per rispetto degli altri utenti) di non averle visibili. Ora, se io voglio implementare un meccanismo di "recupera password", che reinvii la password all'utente (quindi non una password temporanea con relativo azzeramento) non posso farlo...o si? MD5 è unidirezionale...non posso tornare indietro...


Son curioso (anche di sapere i metodi alternativi)

Ciao

[telegio]

non si torna indietro..
non hai modo di reinviare la vecchia password..
il modo che puoi usare è questo:
crei un campo passwordtemporanea.
quando un utente richiede una nuova pwd vai a scrivere là una sequenza casuale che ricavi da dove ti pare a te..
gliela invii (la sequenza.. ) alla mail con cui si è iscritto al tuo sito, con un link. o in chiaro con le istruzioni, o nel link in GET.
per cui l'utente si trova, cliccando, nella pagina che lo accoglie e che con quel codice gli fa cambiare la password.. devi ovviamente fare tutti i controlli del caso..

[markzzz]

infatti come pensavo. Ma allora nei siti che viene effettivamente reinviata la password via mail la salvano in "chiaro" sul database? O utilizzano algoritmi per tornare indietro? (tipo quali?)

[NonCeLaFaccio+]

MD5 (come SHA1) non è reversibile quindi non puoi risalire, attraverso un algoritmo, dall'hash alla stringa che lo ha generato.

Anche le word list che esistono in rete permettono di farlo solo per gli hash che contengono e comunque non in modo univoco perché MD5 e SHA1 possono provocare le cosiddette collisioni, cioè stringhe diverse possono avere lo stesso hash.

Di conseguenza, rassegnati, se vuoi usare MD5 (ed è un'ottima scelta) devi resettare la password se l'utente la perde (o fare come dice Telegio).

Ciao

[markzzz]

Okok..ma a titolo di informazione, gli altri siti come fanno? usano particolari algoritmi reversibili?

[NonCeLaFaccio+]

secondo me memorizzano in chiaro

[chumkiu]

Se sono servizi offerti dal topo gigio di turno, è possibile che siano in chiaro.
Altrimenti possono inventarsi un qualsiasi metodo di cript reversibile. str_rot13 è il più ridicolo, base64_encode o una combinazione di questi. Possono lavorare anche su singolo byte manualmente, o inventarsi una sostituzione (q=1,w=2,e=t ecc.). Ovviamente tutti questi metodi non sono sicuri se hai dei dipendenti che gestiscono le password dei tuoi clienti (pensa a un Ebay o un servizio bancario). Se utilizzi un qualsiasi algoritmo "conosciuto", è altrettanto conosciuto l'algoritmo per decriptarlo... ed è quindi questione di un attimo.

E' più probabile quindi che sia un algoritmo del tutto inventato i cui passaggi sono gelosamente custoditi.

Ti conviene usare l'md5 con "sale".
http://forum.html.it/forum/showthread/t-1334861.html

Per il recupera password non ti conviene assolutamente impostare una nuova password, piuttosto affidati a un campo nuovo della tabella, chiamato "codice_recupero_password"... e fai le operazioni da li'.

Perché se io sono A uso il sistema di recupero password dicendo, falsamente, che sono B, B si ritroverà la password cambiata a sua insaputa. =)

[oly1982]

Originariamente inviato da markzzz
Okok..ma a titolo di informazione, gli altri siti come fanno? usano particolari algoritmi reversibili?

Esistono funzioni che criptano e genrano un HASH (md5, sha1... sono i più famosi ma ve ne sono altri):
questi sono irreversibili.

Vi sono poi altre funzioni criptano le password con meccanismi "reversibili" con chiave segreta:
qui trovi un esempio http://forum.html.it/forum/showthrea...hreadid=786252

I siti che reinviano la password smarrita pertanto hanno due alternative:
- salvano le password in chiaro
- le salvano criptandole con metodi reversibili.

Se invece si salvano gli hash delle password in caso di password smarrita l'unica possibilità è costruire una procedura per ricevere una NUOVA PASSWORD: che verrà inviata via email all'indirizzo scelto in sede di registrazione ma nel db verrà salvato cmq suo hash.

[markzzz]

ok. grazie per il chiarimento