ciaoa tutti ho un dubbio....sto costruendo una semplice pagina di login
ho notato che lo standard ormai è decodificare in md5 le password ma mi chiedo nel momento in cui un utente perde la propria password e vole riaquisirla,essa dovrà essere decodificata giusto?
esiste anche la decodifica degli md5?
ma se cosi fosse che senso avrebbe codificarle prima? se chiunque comunque ,ottenendo il codice md5 potrebbe decodificarlo?
grazie a chi mi toglie il dubbio
l'md5 non è una "codifica" o una "decodifica" nel senso che intendi tu: sono formule matematiche, per altro ormai facilmente attaccabili, che ricevendo in ingresso una serie di dati ricavano 128 bit di dati (di solito rappresentati con caratteri esadecimali sotto forma di 32 caratteri che vanno da 0 a 9 e da A a F o rappresentati con 16 byte)
Non c'è possibilità di invertire l'operazione, matematicamente parlando, anche se, comunque, sfruttando le collisioni (ovvero per quali dati è possibile ottenere lo stesso hash) e la potenza dei moderni calcolatori è possibile trovare i dati originali in pochi giorni (o pochi minuti con i giusti software
Qui maggiori informazioni
http://it.wikipedia.org/wiki/Hash
http://it.wikipedia.org/wiki/MD5
Ad oggi, per gli hash conviene utilizzare degli algorittimi basati su SHA-2 o implementazioni simili, che permettono di generare hash da 256 bit a salire promettendo non solo maggiore tempo di elaborazione per trovare corrispondenze ma anche riducendo il rischio di collisioni
Anche se, secondo me, HMAC-SHA2 è una soluzione ancora più efficiente perché permette non solo di generare degli hash ma di utilizzare una chiave per aumentare la complessità delle operazioni per risalire all'originale: non è possibile distinguere un algoritmo basato su un HMAC-SHA2 o uno SHA2 perché l'output finale è identico, in compenso l'HMAC-SHA2 effettua un doppio hash utilizzando una chiave per variare il valore finale cosi da non dare nemmeno una corrispondenza diretta con le collisioni
Qui maggiori informazioni
http://it.wikipedia.org/wiki/HMAC
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Php supporta diversi tipi di funzioni di encryption, magari una letta qui ti può chiarire le idee.
Spero possa aiutarti.
Cmq non so quante di queste siano in "bundle" con il php senza doverle caricare dal php.ini... se sei su un hosting condiciso magari hai qualche problema...
http://it.php.net/manual/en/refs.crypto.php
banalmente, una volta "codificata" in md5 non ritorni piu (salvo quanto ti è stato detto fin'ora) alla
versione "non codificata". Se l'utente si perde la password, gli fai una procedura per resettarla.
IP-PBX management: http://www.easypbx.it
Old account: 2126 messages
Oldest account: 3559 messages
vi ringrazio ragazzi per le precisazioni
ho fatto un pò di ricerche anche su ciò che mi avete consigliato e ho trovato la funzione
base64_encode() di php che ha come la funzione inversa base64_decode()
potrebbe andare per salvare le passwords?
c'è magari qualcuno che può spiegarmi o linkarmi al metodo più usato per maneggiare le password degli utenti? non esiste uno standard?
grazie di cuore
le password le puoi pure salvare tranquillamente in chiaro, non è che succede nulla di grave: certo, se qualcuno ti buca il server o l'hoster sono problemi, ma la sicurezza assoluta non esiste e salvare i dati direttamente con MD5, oggi, vuol dire praticamente salvarli in chiaro
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Aspetta...Originariamente inviato da daniele_dll
Non c'è possibilità di invertire l'operazione, matematicamente parlando, anche se, comunque, sfruttando le collisioni (ovvero per quali dati è possibile ottenere lo stesso hash) e la potenza dei moderni calcolatori è possibile trovare i dati originali in pochi giorni (o pochi minuti con i giusti software
ma tu trovi proprio i dati, o trovi dei dati che danno un hash identico?
Ciao!
trovi i dati che hanno un hash identico tra i quali anche i dati che servono a teOriginariamente inviato da fmortara
Aspetta...
ma tu trovi proprio i dati, o trovi dei dati che danno un hash identico?
si, ovviamente, c'è più materiale rispetto quello che serve a te, ma indubbiamente la password dell'utente sarà tra gli hash più brevi (parliamo di 128 bit, quindi le collisioni troveranno prima roba molto piccola [ergo il primo risultato] e poi roba che man mano va diventando enorme), probabilmente il primo
parlando di password, diciamo che si possono tranquillamente scartare tutte le collisioni superiori a 30 caratteri nel 99% dei casi
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
perfetto seguirò il tuo consiglio
alla fine il problema della sicurezza (sempre dopo aver preso le dovute precauzioni nello script) dipende esclusivamente dal server ,dall'hoster quindi ,bene
è bello sapere che per quanto ci si possa sforzare a rendere gli script impenetrabili poi l'altro 50% della sicurezza dipende da terzi...
ah si?Originariamente inviato da daniele_dll
...
e salvare i dati direttamente con MD5, oggi, vuol dire praticamente salvarli in chiaro
e questo come me lo decodifichi?
e soprattutto, in quanto tempo?
codice:5e3bc871b846846975d2d3d2742e12c6
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
Permessi di invio
Rispondi quotando