Tabella utenti come trattare la password?

**Attak** · 01-06-2011, 18:41

Ciao a tutti, è la prima volta che tento di fare una registrazione e non sò come trattare la password

Non credo vada memorizzata come semplice testo, mi sembra poco sicuro e poi avrei la possibilità di vedere le password dei miei utenti e la cosa non mi sembra molto corretta...
Se qualcuno riesce a illuminarmi

**deleted_29** · 01-06-2011, 18:50

usa una funzione hash (tipo sha256 o whirlpool) opportunamente "salata" (ossia con l'aggiunta in testa e coda di ulteriori informazioni), idealmente anche relative ad altri dati.

esempio
password pluto
dataregistrazione 01062011

salverai l'hash di

KmvN£bX#plutoKNCN3bx£$!!01062011

che è (whirlpool)

cd7b2df62756e9592d350df83d1a12e42b2bdafd7268f6bbd0 d9a2a91c8d38f14044cbd97f6e668d87ec4a0ee9ade93ca9f9 e2b071b03f7c46fd638a46aafa0e

**Attak** · 01-06-2011, 21:46

Ho trovato un 3d che spiega, è affidabile?
http://forum.html.it/forum/showthrea...readid=1009266

**deleted_29** · 02-06-2011, 12:25

Originariamente inviato da Attak
Ho trovato un 3d che spiega, è affidabile?
http://forum.html.it/forum/showthrea...readid=1009266

non ho letto tutto, mi fermo qui

codice:

$pass = mysql_real_escape_string(md5($_POST['pass']));

Non è un gran metodo.

Tra l'altro un "buon" metodo prevede la verifica preventiva della semplicità della password sulla base di un minimo di dizionario, e l'eliminazione di quelle uguali all'email o alla login.

per quanto può sembrare strano l'esperienza prova che in una buona percentuale gli utOnti fanno proprio così.

**Attak** · 04-06-2011, 18:37

vabe non devo fare la registrazione al sito della banca :P credo che possa bastare come nell'esempio.

**deleted_29** · 04-06-2011, 18:51

Originariamente inviato da Attak
vabe non devo fare la registrazione al sito della banca :P credo che possa bastare come nell'esempio.

fai pure, ma considera che MD5 "liscio", senza "sale", è ormai insicuro.

Poi vedi te come preferisci fare.

**Attak** · 05-06-2011, 11:01

ci sono alternative all'md5? (a parte "salarla")

**deleted_29** · 05-06-2011, 12:34

Originariamente inviato da Attak
ci sono alternative all'md5? (a parte "salarla")

a decine, a cominciare dall'SHA serie 2
(sha256, sha512), whirlpool etc.
Ma il punto è "vuoi usare quell'esempio: va benissimo, metti il "sale" anche fisso nella password e già hai aumentato grandissimamente la resistenza".
Aggiungi alla password, prima e dopo, qualcosa tipo "EMNcb334@

questo rende difficilissimi gli attacchi rainbow table; taglia via quelli a dizionario, rende robuste anche le password troppo brevi.
Rende più difficili gli attacchi brute force.

Non ti salva dalle password aggredibili da dizionario o da quelle banali.

**Attak** · 05-06-2011, 13:04

Ok grazie

Discussione: Tabella utenti come trattare la password?

Strumenti discussione

Ricerca discussione

Visualizza

Tabella utenti come trattare la password?

Permessi di invio