PDA

Visualizza la versione completa : Crypt Password


Jacob_84
12-06-2008, 21:48
Ciao a tutti!
Sapete dirmi se sono obbligato a tenere criptate le password nel mio database?
C'è un modo di poter fare un crypt ed un decrypt?
Io ho provato con la crypt() però mi consente di creare solamente la password criptata e non di tornare in dietro..

Grazie a tutti!

Mich_
13-06-2008, 10:44
Sapete dirmi se sono obbligato a tenere criptate le password nel mio database? Dipende dal tipo di dati che contiene, dal livello di protezione che ha il server e cose simili.
Tieni presente che i dati si suddividono in: dati personali, dati sensibili e dati di altro tipo.


C'è un modo di poter fare un crypt ed un decrypt? NO. Il Crypt e` studiato in modo che non esista il decrypt: si calcola che ci vogliano anni sui computer attuali per trovare la combinazione di caratteri che formano una parola criptata.

I database dei sistemi operativi salvano le passwd in modo criptato: cioe` ogni volta che viene immessa la passwd, questa viene criptata e viene confrontata con il criptato di quella salvata. In questo modo il file delle passwd e` pubblico in lettura, ma non ci sono problemi, dato che nessuno e` in grado di fare il passo opposto.

Jacob_84
17-06-2008, 20:00
La domanda del dectypt era per arrivare ad un altro punto: se io non posso fare il decrypt di una password e supponiamo l'utente voglia recuperare la password come gliela posso inviare se nel DB la conservo solamente criptata e non posso tornare in dietro all'originale???
Cmq si tratta di una sorta di community, io mi domandavo se era opportuno criptare le password perchè generalmente l'utente medio utilizza una sola password per tutti i siti sui quali ha un account e se percaso qualcuno riuscisse ad entrare nel mio DB potrebbe avere poi la password di utenti e vedere altri loro account quali email, ecc...

Ciaoooo!

Mich_
18-06-2008, 09:12
Chi e` causa di suo mal pianga se stesso ...

Anzitutto se gli utenti sono cosi` superficiali (per no nusare parole piu` grosse) da usare la stessa passwd per siti diversi, non e` affare tuo. E` una tecnica decisamente riprovevole e assolutamente sconsigliata da tutti.

Comunque se la passwd e` criptata non puoi ridarla agli utenti. L'unica cosa che puoi fare (e che viene fatta nei siti seri) nei casi in cui la passwd e` persa, e` cambiare la passwd e trasmettere all'utente una nuova passwd (inventata da te - anche event. mediante processo automatico), che poi lui dovrebbe cambiare (ma se la passwd e` studiata bene, puo` anche tenerla).

Ora non so che dati hai dell'utente.
Se hai nome cognome data di nascita potresti usare (sparo un algoritmo che genera una passwd abb. semplice da tenere a mente): iniziale del nome, iniz del cognome, 2 cifre anno di nascita, iniziale mese di nascita, 1 cifra presa a caso, 1 lettera presa a caso.
Chiaramente la combinazione dei vari elementi puoi giocarla come vuoi.
Se non hai la data di nascita, puoi usare la data di oggi, oppure usare piu` lettere dal nome e cognome.

Una buona passwd dovrebbe avere almeno 6 caratteri, di cui almeno uno una lettera ed almeno uno una cifra; se vuoi maggiore sicurezza i caratteri dovrebbero essere almeno 8, e ci dovrebbe essere anche almeno un carattere tra ~`!@#$%^&*()_-=+]}[{'";:.,/?<>

Loading