php - Password sikkerhed - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php password sikkerhed

Bruger #16016 @ 23.04.13 15:03

Hej Udviklere

Jeg har forsøgt at lave en password hash, men er usikker på om den er god nok.

PHP kode

 <?php
 function secure( $password )
  {
     $salt = "f89WF456aSw";
     $pepper = "S9dwWA8s5464od";
  
     return hash("sha512", $salt . $password . $pepper);
  }
   echo secure($_POST[kode]);
  ?>

10 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 29 karma

Sorter efter stemmer Sorter efter dato

Bruger #15562 @ 24.04.13 08:45

118

Måske du kan blive lidt klogere her

Link

Bruger #9814 @ 23.04.13 15:18

1.302

Hvis du ændrer dine salt / pepper værdier, efter at have postet dem herinde, er de vel ok sikre til en helt almindelig login-side, til et website som ikke kræver en secure forbindelse eller lignende.

Bruger #2695 @ 23.04.13 22:11

1.963

Som Erik siger, bør du bruge en dynamisk hash. Evt. en tilfældigt genereret for hver bruger.
Og så kan du hashe flere gange. Det tilfører ikke mere sikkerhed, men det kommer til at tage længere tid at brute force.

Alt dette gør crypt() funktionen for dig, så den vil jeg anbefale dig at bruge.

Bruger #4821 @ 23.04.13 20:10

Gængs definition af salt and pepper er at pepper er en fast størrelse for alle dine brugere, mens salt er en individuel størrelse for hver bruger, gemt i databasen sammen med det hashede kodeord. Det virker ikke som om din kode gør det.

Man siger også, at man kan hashe flere gange, for at få lidt mere sikkerhed. Det gør du ikke.

Men alt dette kan oftest ikke stå alene. Hvis dine brugere kan vælge et password på eet tegn, så kan alle dine fixfaxerier være ligegyldigt, så krav om længde og indhold bør medtages.

Bruger #16016 @ 23.04.13 15:19

Ja jeg ændrer dem self når jeg er sikker på at den er god nok.

Den skal bruges til et normalt login system.

Bruger #9814 @ 23.04.13 15:28

1.302

Du kunne også med fordel tage brugernavnet med i enden på din $salt (hvis brugernavnet ikke ændrer sig).

Bruger #16838 @ 23.04.13 20:09

169

Jeg plejer at lave noget str_replace på alle bogstaver og så bytte rundt på bogstaver sådan.
Udover min encode i form af md5 eller sha15 eller noget helt andet

Indlæg senest redigeret d. 23.04.2013 20:09 af Bruger #16838

Bruger #2695 @ 24.04.13 09:02

1.963

Det var faktisk et rigtig godt link Anders

Bruger #11328 @ 24.04.13 11:45

1.323

Robert: Hvordan kan det være han foreslår at bruge BLOWFISH algortimen, når det er en krypteringsalgoritme og ikke en hashingsalgoritme? Plejer man ikke at foreslå en SHA128 eller SHA256 hashing?

Bruger #2695 @ 24.04.13 12:09

1.963

Tjoeh...jeg ser heller ikke nogen god grund til at vælge Blowfish over andre algoritmer, udover at det nok er nemmere at finde SHA baserede rainbow tables derude...men rainbowtable problemet fjernes ved brug af salt.

Blowfish ér en krypteringsalgoritme, men så'n en kan også bruges til at hashe med: http://www.emsec.rub.de/media/crypto/attachments/files/2011/03/bartkewitz.pdf

Jeg ser bare ikke grund til at gå væk fra default i crypt() funktionen (som vistnok er SHA512), men jeg er heller ikke kryptolog.

Password sikkerhed

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler