Buon pomeriggio, ho questa curiosità, all'atto dell'inserimento della passwrod codificata con la funzione md5, come posso se, l'utente inavvertitamente perde la sua password, ricordargliela con un'email se, nel campo password ho quella codificata a 32 caratteri?
In pratica lui digita, es password "chitarra" come faccio a ricordargli che era "chitarra", se la funzione md5 è one-way?
Grazie a tutti....
la risposta è molto semplice: non puoi farlo!
Potresti prendere un super computer e sperare che in qualche decina di anni ti ritrovi la password, ma penso che a quel punto il tuo utente non ci sia più. Dunque se perde o dimetica la password gliene dai un altra oppure gli dici che doveva pensarci prima di perderla o dimenticarla ...
non hai alcun modo di tornare all'originale .. o gliene spedisci $nuova_password generata da te e nel database inserisci md5($nuova_password) o crei una pagina che -dopo i dovuti controlli- fa inserire una nuova password direttamente da lui e nuovamente inserisci nel db md5(pass)
si avete ragione, questo lo sapevo, però mi spiegate per favore, come fa tiscali,hotmail, etc etc... avevo perso la password, c'è l'apposito link dove ti dicono di inserire la tua email, e ti rispediscono esattamente quella che avevi...(e mi sembra giusto)
Come mai adesso,si deve adottare questo stratagemma, di far scegliere una nuova password all'utente sbadato?
Non credo sia una soluzione giusta, oppure è l'unico modo?
Ditemi voi che soluzione adottate,cosi mi adeguo anch'io...
Grazie mille...
non utilizzeranno funzioni hash one way ma di crypt , per cui con un altro algoritmo riescono a tornare alla pwd originale
(o forse terranno direttamente le password in chiaro nel database lol)
Tutto è possibile.
E non ci vogliono anni per decriptare un hash in MD5.
dipende dalla password. Una password di almeno 6 digit che comprenda almeno un numero, quindi fuori da ogni vocabolario, puo' impiegare una decina d'anni se il computer e' sufficientemente potente.Originariamente inviato da ZoneForum
Tutto è possibile.
E non ci vogliono anni per decriptare un hash in MD5.
Poi e' errato definire criptato perche' in realta e' un hash, cioe' una specie di CRC che serve solo a stabilire se la stringa o file era proprio quello/a ma non ha nulla al suo interno che possa indicare come ricostruire quello che lo ha generato.
L'unico modo di ricostruire sarebbe quello di provare stringhe fino a quando si riuscira' ad ottenere l'identico hash. Chiaro che se metto password = pippo ci vorranno pochi secondi.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Dunque per fare quello che vuoi te devi fare come dice Eyescream e usare le funzioni per criptare la password e esiste dunque anche una funzione per tornare alla password originale.
Dai un'occhiata a queste funzioni, http://ch.php.net/mcrypt , fanno esattamente questo, c'era anche un intiressante documento sul tema, dai un'occhiata a "Php e crittografia" su http://www.phpday.it/download/ .
in rapporto al tipo di dati trattati mi sembra anke ke per la privacy la password dovrebbe essere conosciuta solo dall'utente e quindi nel db 'dovrebbe' rimanere solo la codifica in MD5. ci vuole un sistema ke assegna una password ke rimane in kiaro nel db e si invita l'utente a sostituirla con una personale, magari con una domanda per ricordarsela. naturalmente la password originale viene conservata e quella nuova ke sarà utilizzata x il login è codificata. in caso di smarrimento o dimenticanza si può inviare in automatico la password originale tramite email e l'utente potrà impostare di nuovo una nuova e personale.
Errare humanum est, perseverare ovest
Permessi di invio
Rispondi quotando