Criptare password

[skimmy]

Grazie mille intanto e a proposito di...

Originariamente inviato da 13manuel84

La decriptazione potrebbe servirti se unop dimentica la pw, ma in quel caso gliene mandi tu una nuova in mail e al prossimo login gli dai l'opportunità di cambiarla, senza bisogno di recuperare la vecchia...

...sapete se in PHP esiste una funzione che crea password alfanumeriche (sempre come fa phpBB ad esempio) oppure devo implentarmi io l'algoritmo

[thitan]

ok il link del tread è:
criptare e decriptare [pillola]

[13manuel84]

Originariamente inviato da skimmy
Grazie mille intanto e a proposito di...



...sapete se in PHP esiste una funzione che crea password alfanumeriche (sempre come fa phpBB ad esempio) oppure devo implentarmi io l'algoritmo

io avevo trovato questa funzione per creare una password alfanumerica casuale, penso possa esserti utile; poi trovi la password nella variabile $password:

codice:

<?

//set maximum password length (this is the only configuration require)
$max_pass_len = 50;

$pass_len = 10;
$pass_len_check = is_numeric($pass_len);
if (!$pass_len_check) { $error = "true"; }
if (($pass_len > $max_pass_len) or ($pass_len < 1))  { $error = "true"; }

if ($error != "true")
{
  //set alphabet arrays
  $alpha_lower = array("a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z");
  $alpha_upper = array("A", "B", "C", "D", "E", "F", "G", "H", "I", "J", "K", "L", "M", "N", "O", "P", "Q", "R", "S", "T", "U", "V", "W", "X", "Y", "Z");

  //set option arrays
  $options = array("AU", "AL", "NU");
  
  //seed the random generator
  srand((double) microtime() * 1000000);

  //create password
  for ($loop = 0; $loop < $pass_len; $loop++)
  {
    $pass_numeric = rand(0, 9);
    $pass_alpha_array_select = rand (0, 25);
    $item = array_rand($options, 1);

    if ($loop == 0)
    {
	  if ($options[$item] == "NU") { $password = $pass_numeric; }
	  if ($options[$item] == "AL") { $password = $alpha_lower[$pass_alpha_array_select]; }
      if ($options[$item] == "AU") { $password = $alpha_upper[$pass_alpha_array_select]; }
    }
    else
    {
	  if ($options[$item] == "NU") { $password .= $pass_numeric; }
	  if ($options[$item] == "AL") { $password .= $alpha_lower[$pass_alpha_array_select]; }
      if ($options[$item] == "AU") { $password .= $alpha_upper[$pass_alpha_array_select]; }
    }
  }
}
?>

occhio però che con questa generi solo una stringa alfanumerica casuale, non fa nessuna criptazione!

comunque dai un'occhiata alla pillola, io l'avevo trovata molto interessante.
Comunque ci sono tantissimi algoritmi per criptere/decriptare dati, lì viene segnalato quello di PMA (blowfish). Oppure nel package mcrypt di php trovi molte alternative, ma è una libreria che ti devi caricare e compilare [qui trovi info: http://it2.php.net/manual/it/ref.mcrypt.php]

[daniele_dll]

mi sa che c'è un po di confusione

- md5 non è decrittabile
- md5 non critta una beneamata fava ... fa un HASHING del testo immesso
- il sorgente postato prima non usa md5 ... e quindi non c'azzecca nulla con md5 ... fa solo della crittazione (probabilmente anche banale)

[13manuel84]

Originariamente inviato da daniele_dll
mi sa che c'è un po di confusione

- md5 non è decrittabile

e fin qui ci siamo

Originariamente inviato da daniele_dll
- md5 non critta una beneamata fava ... fa un HASHING del testo immesso

Ok! forse ho usato un termine sbagliato con cripta era per dire che restituisce un qualcosa di incomprensibile e non decrittabile.

Originariamente inviato da daniele_dll

- il sorgente postato prima non usa md5 ... e quindi non c'azzecca nulla con md5 ... fa solo della crittazione (probabilmente anche banale)

in quanto al sorgente che ho postato l'ho scritto pure io in grassetto che non critta niente
solo che veniva chiesto un algoritmo che creasse una stringa alfanumerica casuale, e quello fa esattamente quello che è stato chiesto...

[OhMyGod]

Originariamente inviato da teju
Ma poverino... lasciagli le sue convinzioni...

Gente, ogni tanto leggersi qualcosa circa i tempi di esecuzione male non farebbe....

"Cain" (http://www.oxid.it/cain.html) impiega circa 5 ore per crackare una password di 6 o 7 caratteri alfanumerici, con password tra 6 e 8 caratteri arriva a 7 giorni con un processore da 1.91 GHz e 512 MB di RAM... sono tempi lunghi, ma di certo non astronomici. è una cosa fattibile.... sbruffoncello. è ovvio che se consideri password più lunghe i tempi diventano assurdi (circa 200 giorni per una password tra 6 e 9 caratteri), ma con 6-8 caratteri sei gia nella media degli utenti web.

[gm]

Ma com'è possibile che ogni thread su md5() (se ne apre più di uno al giorno, perchè ovviamente NESSUNO usa la ricerca) finisce sempre così, ma che palle !

Al prossimo accenno di flame cancello tutto

[piero.mac]

Originariamente inviato da gm
Ma com'è possibile che ogni thread su md5() (se ne apre più di uno al giorno, perchè ovviamente NESSUNO usa la ricerca) finisce sempre così, ma che palle !

Condivido e sottolineo le palle ...

ricordo solo che i sistemi che cercano l'origine di una stringa che ha generato un hash MD5() necessitano ... dell'hash generato. Senza questo hash dovrebbero provare la connessione ad ogni tentativo passando cosi' dai 200 giorni ai 15/20 anni....

Quindi sereni... confrontate la vostra stringa sul db senza mai estrarla.... e usate tranquillamente MD5(). E se il tipo perde la pwd gli mandate una e-mail con un link e gli permettete di inserirne una nuova. Tanto il modo di cambiare la pwd glielo dovete dare comunque.

[teju]

Originariamente inviato da piero.mac
Condivido e sottolineo le palle ...
[...]
passando cosi' dai 200 giorni ai 15/20 anni....

Grazie, qualcuno che sa parla...

[skimmy]

Grazie di tutto.

Tanto alla fin fine queste password vanno su un database accessibile solo all'amministratore ed è per questo che voglio "crittografarle" la cosa importante, insomma, è che non sia visibile in chiaro.

Vorrei porre un'altro problema riguardo a md5().
Essendo questo un hash (come dice il manuale stesso di PHP) sarà indubbiamente affetto dal problema delle collisioni, la mia domanda è questa: che voi sappiate qual'è la probabilità che due stringhe diverse vengano mappate in una stessa stringa?