Criptare password md5

**aleb95** · 22-01-2014, 10:17

Ciao a tutti... Spero di riuscire a farmi capire ... Sto facendo un sistema di registrazione/login per imparare... Dovrebbe essere quasi a posto... Ora come ora passo le password al database così come sono e sicuramente non può rimanere così ... Perciò guardando in giro ho trovato articoli che parlano delle funzione md5() che converte la mia password in una stringa alfanumerica... Il mio dubbio è questo ... Una volta che l utente si registra la password criptata viene inserita nel database.... Quando l utente effettua il login le due password vengono messe a confronto ... È necessario decriptarla prima di fare il confronto oppure la password ("ciao" per esempio) criptata in md5 darà sempre la stessa stringa alfanumerica perciò non è necessario nessuna riconversione ma basta il confronto? Spero di essermi spiegato
alessio

**satifal** · 22-01-2014, 10:36

La seconda che hai detto.
Anche perchè, essendo un algoritmo crittografico di hashing, non è possibile decriptare l'MD5.

In pratica devi criptare la passord in chiaro inserita e confrontarla con quella salvata sul DB.

**aleb95** · 22-01-2014, 10:41

Originariamente inviata da satifal

La seconda che hai detto.
Anche perchè, essendo un algoritmo crittografico di hashing, non è possibile decriptare l'MD5.

In pratica devi criptare la passord in chiaro inserita e confrontarla con quella salvata sul DB.

Ti ringrazio

dici che l md5() è un metodo adeguato o non è basta sicuro e c'è altro di meglio ?

**satifal** · 22-01-2014, 10:50

In alternativa puoi utilizzare l'SHA anch'esso un algoritmo crittografico di hashing, ma anche l'MD5 va benone.

**aleb95** · 22-01-2014, 10:51

Grazie mille

**boots** · 22-01-2014, 12:39

Da quello che ho letto sul web, sia md5 che sha1 non sono poi così sicuri. Sono algoritmi nati per essere veloci da calcolare e questo li rende vulnerabili ad attacchi di forza bruta (e mi pare anche a quelli di collisione).

Se vuoi stare un po' più sicuro, potresti usare un 'salt' e non solo la password in chiaro.

Codice PHP:


$salt = "abdiodiri12847hdlfnln34923942p392394ulkdfnwi"; // o una serie d caratteri a caso

$cryptedPasswd = sha1($salt.$password_in_chiaro);

Anche se per dormire sonni tranquilli viene suggerito l'uso di bcrypt

**aleb95** · 22-01-2014, 12:44

Originariamente inviata da boots

Da quello che ho letto sul web, sia md5 che sha1 non sono poi così sicuri. Sono algoritmi nati per essere veloci da calcolare e questo li rende vulnerabili ad attacchi di forza bruta (e mi pare anche a quelli di collisione).

Se vuoi stare un po' più sicuro, potresti usare un 'salt' e non solo la password in chiaro.

Codice PHP:


$salt = "abdiodiri12847hdlfnln34923942p392394ulkdfnwi"; // o una serie d caratteri a caso

$cryptedPasswd = sha1($salt.$password_in_chiaro);

Anche se per dormire sonni tranquilli viene suggerito l'uso di bcrypt

Mi informo e vedo se riesco a capire poi al massimo chiedo nuovamente

grazie

Discussione: Criptare password md5

Strumenti discussione

Ricerca discussione

Visualizza

Criptare password md5

Permessi di invio