php - Hash på password - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php hash sikkerhed

<< < 1 2 3 > >>

Bruger #17136 @ 16.11.12 13:10

Hej

Jeg kigger lige tilbage til en tidlig tråde her på siden.
http://www.udvikleren.dk/forum/39024/sha256-vs-sha512/

Det er sådan at jeg kun godt tænke mig at gøre sådan at min siden ikke kun er på sha1. men dog er lidt mere sikker til at log in og mange andre ting.

Nu prøve jeg lave et f.eks.

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = sha1($hash);//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

eller skal jeg gøre det på den her måde?

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = $hash;//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

Det er bare sådan at jeg kun godt tænke mig at forbedre min kode og brugers kode over for sikkerheden da jeg mener klart det er utrolige vigtigt tid i dag.

håber du kan hjælp mig videre eller vejledning mig videre til at det kan blive godt og sikkert.

25 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #2695 @ 18.11.12 21:53

1.963

Når du validerer et login skal du ikke oprette et nyt salt. Der skal du hente det gemte hash ud for brugeren med det pågældende brugernavn. Noget ala:

PHP kode

 if($stmt = $this->mysqli->prepare('SELECT `id`, `brugernavn`, `rank`, `profilbillede`, `profilbillede_godkendt`, `password` FROM `bruger` WHERE `brugernavn` = ?))

Derefter tjekker du så det indtastede password imod det gemte hash:

PHP kode

 if (crypt($entered_password, $saved_hash) === $saved_hash) {
     //Correct password
 } else {
     //Incorrect password
 }

Bruger #9814 @ 16.11.12 13:23

1.302

Der er lavet en fin artikel omkring emnet:

http://www.udvikleren.dk/artikler/368/php-krypto-1-hashing/

Bruger #17136 @ 16.11.12 13:28

Der er lavet en fin artikel omkring emnet:

http://www.udvikleren.dk/artikler/368/php-krypto-1-hashing/

Brian, Jeg har desværre set den flere gang men jeg har prøve den og jeg synes bare ikke at jeg kan få det til at virker på nogle måde ovehovedet..

øv øv..

Bruger #2695 @ 16.11.12 13:44

1.963

Hey

Det er mig, der har skrevet den artikel, som Brian lænker til, og jeg er ret træt af, at jeg ikke beskrev brugen af crypt() funktionen, for den er lavet til password hashing og gør det godt.

Det, du skal gøre, er følgende:

PHP kode

 <?php
     function generateSalt($length) {
         $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
         $alphabet_length = strlen($alphabet);
         $salt = '';
         for ($i = 0; $i < $length; $i++) {
             $salt .= $alphabet[rand(0, $alphabet_length - 1)];
         }
         return $salt;
     }
 
     //Her oprettes bruger og password
     $password = 'Very secret';
     $algorithm = '$6$'; //<--- Dette betyder SHA 512
     $salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
 
     $hash = crypt($password, $algorithm . $salt);
     //Gem $hash i databasen...gem IKKE hverken password eller salt.
     //Saltet er indlejret i $hash
 
 
     //Her tjekkes passwords
     $passwords = array('Not very secret', 'Very secret');
     foreach ($passwords as $p) {
         echo '"' . $p . '" is' . ((crypt($p, $hash) === $hash) ? '' : ' not') . " correct.\n";
     }
 ?>

Dvs. at når en bruger vil logge ind, så skal du finde det hash, som er gemt for hans brugernavn og derefter i PHP tjekke, om det password, han har leveret, giver samme hash som det oprindelige ved at give det leverede password og det gemte hash som parametre til crypt().

Bruger #17136 @ 16.11.12 14:03

PHP kode

 <?php
     function generateSalt($length) {
         $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
         $alphabet_length = strlen($alphabet);
         $salt = '';
         for ($i = 0; $i < $length; $i++) {
             $salt .= $alphabet[rand(0, $alphabet_length - 1)];
         }
         return $salt;
     }
 
     //Her oprettes bruger og password
     $password = 'Very secret';
     $algorithm = '$6$'; //<--- Dette betyder SHA 512
     $salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
 
     $hash = crypt($password, $algorithm . $salt);
     //Gem $hash i databasen...gem IKKE hverken password eller salt.
     //Saltet er indlejret i $hash
 
 
     //Her tjekkes passwords
     $passwords = array('Not very secret', 'Very secret');
     foreach ($passwords as $p) {
         echo '"' . $p . '" is' . ((crypt($p, $hash) === $hash) ? '' : ' not') . " correct.\n";
     }
 ?>

okay

men det vil sige at jeg godt kan bygge kode om sådan her;

PHP kode

 function generateSalt($length) {
                      $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
                      $alphabet_length = strlen($alphabet);
                      $salt = '';
                      for ($i = 0; $i < $length; $i++) {
                          $salt .= $alphabet[rand(0, $alphabet_length - 1)];
                      }
                      return $salt;
                  }
              
                  //Her oprettes bruger og password
                  $password = $_POST["pass"];
                  $algorithm = '$6$'; //<--- Dette betyder SHA 512
                  $salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
              
                  $hash = crypt($password, $algorithm . $salt);
                  //Gem $hash i databasen...gem IKKE hverken password eller salt.
                  //Saltet er indlejret i $hash
              
              
                  //Her tjekkes passwords
                  $passwords = array('Not very secret', 'Very secret');
                  foreach ($passwords as $p) {
                      echo '"' . $p . '" is' . ((crypt($p, $hash) === $hash) ? '' : ' not') . " correct.\n";
                  }
                 
                 
                 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` 
                 (`rank`, `email`, `brugernavn`, `password`, `profilbillede`, `navn`, `efternavn`, `alder_d`, `alder_m`, `alder_aar`, `status`, `kon`, `seksualitet`, `land_by`, `hojde`) 
                 VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)'))
                 {
                     
                     $stmt->bind_param('isssssssssiiisi', $rank, $email, $brugernavn, $password, $profilbillede, $navn, $efternavn, $alder_d, $alder_m, $alder_aar, $kon, $seksualitet, $partnerstatus, $land_by, $hojde);
                     $rank = '1';
                     $email = $_POST["email"];
                     $brugernavn = $_POST["brugernavn"];//C
                     $password = $hash;//C
                     $profilbillede = $pb;//C
                     $navn = $_POST["navn"];
                     $efternavn = $_POST["efternavn"];
                     $alder_d = $_POST["alder_d"];
                     $alder_m = $_POST["alder_m"];
                     $alder_aar = $_POST["alder_aar"];
                     $kon = $_POST["kon"];
                     $seksualitet = $_POST["seksualitet"];
                     $partnerstatus = $_POST["partnerstatus"];
                     $land_by = $_POST["land_by"];
                     $hojde = $_POST["hojde"];
                     
                     $stmt->execute();
                     $stmt->close();

Bruger #2695 @ 16.11.12 14:11

1.963

Ja, det skulle jeg mene. Nu har du godt nok kopieret lidt for meget af min eksempel kode, men det burde virke.

Bruger #17136 @ 16.11.12 14:17

Ja, det skulle jeg mene. Nu har du godt nok kopieret lidt for meget af min eksempel kode, men det burde virke.

okay, men hvis jeg har kopier lidt for meget af den ? hvilke noget af det skal så væk?.

Spørgsmål:

PHP kode

 function generateSalt($length)

- Lige nu har jeg kigge på om hvor $length er hen?

Omkring hvor langt det er ;

PHP kode

 $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

- hvilke tegn må jeg ikke bruge til den her kode?

- er det ikke noget med jo længere passsword + alphabet er jo bedre er sikkerheden for brugerne?

PHP kode

 //Her tjekkes passwords
                  $passwords = array('Not very secret', 'Very secret');
                  foreach ($passwords as $p) {
                      echo '"' . $p . '" is' . ((crypt($p, $hash) === $hash) ? '' : ' not') . " correct.\n";
                  }

Det kan jeg godt slette ikke også eller hvad?

Bruger #2695 @ 16.11.12 14:33

1.963

okay, men hvis jeg har kopier lidt for meget af den ? hvilke noget af det skal så væk?.

Denne del:

PHP kode

 //Her tjekkes passwords
 $passwords = array('Not very secret', 'Very secret');
 foreach ($passwords as $p) {
     echo '"' . $p . '" is' . ((crypt($p, $hash) === $hash) ? '' : ' not') . " correct.\n";
 }

Alfabetet bruges kun til generering af saltet. Det har intet med dit password at gøre.

Alle tegn er tilladte i brugerens password, og ja, jo længere det er, desto sikrere er det imod brute force, men et langt password, som kan slåes op i en ordbog er heller ikke nogen god idé.

Du kan til dels sikre imod brute force (online i hvert fald) ved kun at tillade f.eks. tre forkerte passwords på samme brugernavn for en IP inden for 10 minutter. Det vil gøre det til en meget langsommelig proces at bryde ind.

Bruger #17136 @ 16.11.12 14:39

okay, men hvis jeg har kopier lidt for meget af den ? hvilke noget af det skal så væk?.

Denne del:
PHP kode
 //Her tjekkes passwords
 $passwords = array('Not very secret', 'Very secret');
 foreach ($passwords as $p) {
     echo '"' . $p . '" is' . ((crypt($p, $hash) === $hash) ? '' : ' not') . " correct.\n";
 }
Alfabetet bruges kun til generering af saltet. Det har intet med dit password at gøre.

Alle tegn er tilladte i brugerens password, og ja, jo længere det er, desto sikrere er det imod brute force, men et langt password, som kan slåes op i en ordbog er heller ikke nogen god idé.

Du kan til dels sikre imod brute force (online i hvert fald) ved kun at tillade f.eks. tre forkerte passwords på samme brugernavn for en IP inden for 10 minutter. Det vil gøre det til en meget langsommelig proces at bryde ind.

Okay tak for snakkene,

Men det kun være det var noget man skulle overvejr altså det sidste du skrive på siden. altså "Du kan til dels sikre imod brute force (online i hvert fald) ved kun at tillade f.eks. tre forkerte passwords på samme brugernavn for en IP inden for 10 minutter. Det vil gøre det til en meget langsommelig proces at bryde ind."

Men det sidste spørgsmål er hvordan ligge jeg en function ind i en function altså f.eks sådan her

Kan jeg gøre noget ligne i den her still

PHP kode

 <?php
 
 function bruger(){
     //finder ud af om bruger har skrevet brugernavn og pass
     
     //her skal den så gøre det med password
     //f.eks lige som her;
     
     function generateSalt($length) {
          $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
          $alphabet_length = strlen($alphabet);
          $salt = '';
          for ($i = 0; $i < $length; $i++) {
              $salt .= $alphabet[rand(0, $alphabet_length - 1)];
          }
          return $salt;
      }
     
      $password = $_POST["pass"];
      $algorithm = '$6$'; //<--- Dette betyder SHA 512
      $salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
     
      $hash = crypt($password, $algorithm . $salt);    
      
      //Her efter ligges det ind i databasen
      if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` 
     (`rank`, `email`, `brugernavn`, `password`, `profilbillede`, `navn`, `efternavn`, `alder_d`, `alder_m`, `alder_aar`, `status`, `kon`, `seksualitet`, `land_by`, `hojde`) 
     VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)'))
     {
         
         $stmt->bind_param('isssssssssiiisi', $rank, $email, $brugernavn, $password, $profilbillede, $navn, $efternavn, $alder_d, $alder_m, $alder_aar, $kon, $seksualitet, $partnerstatus, $land_by, $hojde);
         $rank = '1';
         $email = $_POST["email"];
         $brugernavn = $_POST["brugernavn"];//C
         $password = $hash;//C
                     
                     //osv...
 }
 }
 ?>

f.eks Password ligge jeg over i function file og så bare kalder den over til den her function som er på samme side eller hvad man forklare det bedre.

Indlæg senest redigeret d. 16.11.2012 14:42 af Bruger #17136

Bruger #2695 @ 16.11.12 14:43

1.963

Man kan ikke neste funktioner i PHP så læg funktionen udenfor.

<< < 1 2 3 > >>

Hash på password

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler