Buonasera, Ho letto a giro che sia l'algoritmo md5 che sha1 non vanno bene per salvare le password. Io fino a ora ho utilizzato md5 e attraverso uno script criptavo la password prima che venisse inviata via post nella pagina di verifica dei dati per vedere se questo utente esiste o no.
La mia domanda è:
è rischioso inviare la password in chiaro dalla pagina di login a quella di verifica e poi utilizzare la funzione crypt() ?
Voi come fate?
Grazie a tutti
Puoi usare la funzione hash() e dirgli di usare sha256.
Per il rischio, certo che è rischioso, ma dipende da cosa devi proteggere, se non ci sono dati sensibili salvati nel profilo dell'utente puoi anche mandare i dati in chiaro.
L'altrenativa è usare SSL.
grazie per la risposta..
Diciamo che uso due tabelle una per i login a cui è collegata mediante id a una seconda tabella in cui sono contenuti dati quali indirizzo telefono ect...
Io invio i dati dal login a una pagina di verifica la quale verifica se i dati sono corretti...
Le password nel db le salvo in md5...
Che i dati siano in una o due tabelle fa poca differenza, se uno riesce a loggarsi con l'account di un altro può vederli in ogni caso (ammesso che ci sia una pagina che li mostra).
Se hai le password salvate in md5 e cambi tipo di algoritmo dovrai chiedere agli utenti già registrati di cambiare la password così che venga aggiornata anche sul db, non puoi convertire una stringa md5 in un'altra di un altro algoritmo.
Il cambio della password ovviamente non lo potranno fare dal loro profilo, perché non saranno in grado di effettuare il login essendo cambiata la funzione di hash, quindi dovrai creare una pagina apposita dove gli utenti potranno cambiare password.
Per esempio puoi creare una pagina in cui chiedi l'indirizzo email con cui ci si è registrati e un altro dato difficile da indovinare a caso se uno prova ad aggiornare la pass di un altro.
Permessi di invio
Rispondi quotando