Gestione password

**paglia_s** · 22-03-2011, 19:59

Sto mettendo su un sistema di login in cui salvo username e password in un database mysql.

Attualmente alla registrazione cripto le password in md5 con la funzione md5() e poi faccio il controllo al momento del login.

Così facendo però ho una limitazione: in caso di perdita della password non c'è modo di recuperarla se non mettendo la mano sul db.

Ho quindi qualche domanda per voi:

1-)A senso criptare le password nel database?
2-) se la risposta alla domanda sopra è affermativa: esiste uno metodo di criptazione che permetta di tornare indietro a differenza di quello che succede con md5 che cripta ma non permette la decriptazione?

**ciro78** · 22-03-2011, 21:44

criptare la password è fodamentale .
invece di usare md5 usa sha256
la password non deve essere recuperabile come dici tu. se un utente non si ricorda la password effettua la richiesta. il sistema genera una password temporanea con la quale l'utente effettuerà l'accesso. all'accesso deve cambiarla in una nuova password

**paglia_s** · 22-03-2011, 22:05

Grazie, che vantaggi ha sha256 rispetto ad md5?

**ciro78** · 22-03-2011, 22:20

diciamo che in soldoni la stringa è più lunga quindi sicura. essendo + lunga è anche difficile , rispetto al md5, che ci siano collisioni.

se cerchi sul forum e su internet trovi tonnellate di informazioni

**nickcv** · 23-03-2011, 03:15

per ragioni di sicurezza è meglio aggiungere anche un salt prima di generare un hash della password.

Discussione: Gestione password

Strumenti discussione

Ricerca discussione

Visualizza

Gestione password

Permessi di invio