Forbedre password på siden

Hvad har du at beskytte? Jeg mener...står din indsats mål med den værdi du vil beskytte? Hvis du ikke har noget af værdi så hvorfor øge sikkerheden og dine hash algoritmer?

Jeg har flere steder på nogle af mine sider en simpel beskyttelse med hardcoded password og en sessionsvariabel. På de sider har jeg ikke noget at beskytte, ikke noget jeg ville kunne genskabe fra en backup i løbet af få minutter.

Kode 

but there's a better way to make the cracking process slower as we'll see later.

I den tekst du har kopieret ind, skriver han:

Kode 

but there's a better way to make the cracking process slower as we'll see later.

Han skriver at han vil forklare en bedre metode senere. Hvorfor gør du ikke det som han så skriver senere (hvad det så end er)?

I den tekst du har kopieret ind, skriver han:

Kode 

but there's a better way to make the cracking process slower as we'll see later.

Han skriver at han vil forklare en bedre metode senere. Hvorfor gør du ikke det som han så skriver senere (hvad det så end er)?

Jeg tror han tænker/mener det her

I den tekst du har kopieret ind, skriver han:

Kode 

but there's a better way to make the cracking process slower as we'll see later.

Han skriver at han vil forklare en bedre metode senere. Hvorfor gør du ikke det som han så skriver senere (hvad det så end er)?

Jeg tror han tænker/mener det her

Jeg sidder på jobbet, så jeg går ikke lige ind på noget der hedder crackstation i urlen.... ;-)

PHP kode 

 <?php
 /*
  * Password hashing with PBKDF2.
  * Author: havoc AT defuse.ca
  * www: https://defuse.ca/php-pbkdf2.htm
  */
 
 // These constants may be changed without breaking existing hashes.
 define("PBKDF2_HASH_ALGORITHM", "sha256");
 define("PBKDF2_ITERATIONS", 1000);
 define("PBKDF2_SALT_BYTE_SIZE", 24);
 define("PBKDF2_HASH_BYTE_SIZE", 24);
 
 define("HASH_SECTIONS", 4);
 define("HASH_ALGORITHM_INDEX", 0);
 define("HASH_ITERATION_INDEX", 1);
 define("HASH_SALT_INDEX", 2);
 define("HASH_PBKDF2_INDEX", 3);
 
 function create_hash($password)
 {
     // format: algorithm:iterations:salt:hash
     $salt = base64_encode(mcrypt_create_iv(PBKDF2_SALT_BYTE_SIZE, MCRYPT_DEV_URANDOM));
     return PBKDF2_HASH_ALGORITHM . ":" . PBKDF2_ITERATIONS . ":" .  $salt . ":" .
         base64_encode(pbkdf2(
             PBKDF2_HASH_ALGORITHM,
             $password,
             $salt,
             PBKDF2_ITERATIONS,
             PBKDF2_HASH_BYTE_SIZE,
             true
         ));
 }
 
 function validate_password($password, $correct_hash)
 {
     $params = explode(":", $correct_hash);
     if(count($params) < HASH_SECTIONS)
        return false;
     $pbkdf2 = base64_decode($params[HASH_PBKDF2_INDEX]);
     return slow_equals(
         $pbkdf2,
         pbkdf2(
             $params[HASH_ALGORITHM_INDEX],
             $password,
             $params[HASH_SALT_INDEX],
             (int)$params[HASH_ITERATION_INDEX],
             strlen($pbkdf2),
             true
         )
     );
 }
 
 // Compares two strings $a and $b in length-constant time.
 function slow_equals($a, $b)
 {
     $diff = strlen($a) ^ strlen($b);
     for($i = 0; $i < strlen($a) && $i < strlen($b); $i++)
     {
         $diff |= ord($a[$i]) ^ ord($b[$i]);
     }
     return $diff === 0;
 }
 
 /*
  * PBKDF2 key derivation function as defined by RSA's PKCS #5: https://www.ietf.org/rfc/rfc2898.txt
  * $algorithm - The hash algorithm to use. Recommended: SHA256
  * $password - The password.
  * $salt - A salt that is unique to the password.
  * $count - Iteration count. Higher is better, but slower. Recommended: At least 1000.
  * $key_length - The length of the derived key in bytes.
  * $raw_output - If true, the key is returned in raw binary format. Hex encoded otherwise.
  * Returns: A $key_length-byte key derived from the password and salt.
  *
  * Test vectors can be found here: https://www.ietf.org/rfc/rfc6070.txt
  *
  * This implementation of PBKDF2 was originally created by https://defuse.ca
  * With improvements by http://www.variations-of-shadow.com
  */
 function pbkdf2($algorithm, $password, $salt, $count, $key_length, $raw_output = false)
 {
     $algorithm = strtolower($algorithm);
     if(!in_array($algorithm, hash_algos(), true))
         die('PBKDF2 ERROR: Invalid hash algorithm.');
     if($count <= 0 || $key_length <= 0)
         die('PBKDF2 ERROR: Invalid parameters.');
 
     $hash_length = strlen(hash($algorithm, "", true));
     $block_count = ceil($key_length / $hash_length);
 
     $output = "";
     for($i = 1; $i <= $block_count; $i++) {
         // $i encoded as 4 bytes, big endian.
         $last = $salt . pack("N", $i);
         // first iteration
         $last = $xorsum = hash_hmac($algorithm, $last, $password, true);
         // perform the other $count - 1 iterations
         for ($j = 1; $j < $count; $j++) {
             $xorsum ^= ($last = hash_hmac($algorithm, $last, $password, true));
         }
         $output .= $xorsum;
     }
 
     if($raw_output)
         return substr($output, 0, $key_length);
     else
         return bin2hex(substr($output, 0, $key_length));
 }
 ?>

Hvad har du at beskytte? Jeg mener...står din indsats mål med den værdi du vil beskytte? Hvis du ikke har noget af værdi så hvorfor øge sikkerheden og dine hash algoritmer?

Jeg har flere steder på nogle af mine sider en simpel beskyttelse med hardcoded password og en sessionsvariabel. På de sider har jeg ikke noget at beskytte, ikke noget jeg ville kunne genskabe fra en backup i løbet af få minutter.

altså jeg har par undervisning filer, og så er der de personlig info, der snakker vi om adr, telefon, email osv.

Når du skriver "Jeg har flere steder på nogle af mine sider en simpel beskyttelse med hardcoded password og en sessionsvariabel" hvordan har du så lavet det / gjort det?

Der kan være meget lærerigt at forsøge at gøre sit website mere sikkert, uanset om der er et reelt behov eller ej.

Der skal bruges forskellige sikkerhedsfeatures til at beskytte sig mod forskellige angrebsmetoder. Metoden med at gøre krypteringsmetoden langsom har primært effekt hvis et password forsøges hacket via websitets eget eksterne interface. Her kan man også _bare_ begrænse antallet af loginforsøg der kan laves inden for en tidsperiode. Jeg har før lavet loginmetoder der kun tillader 1 fejlet loginforsøg i skundet, hvilket gør et bruteforce attack meget langsomt.

I tilfælde hvor din bruger-database bliver stjålet og passwords skal bruges til at logge ind og ændre data i produktionssitet, vil det med at gøre krypteringsmoden langsom, ikke have den store effekt længere. Det er forholdsvis nemt og billigt at få adgang til store mængder computerkraft i en kortere periode. I et sådan tilfælde, vil jeg anbefale at bruge både salt og pepper i adgangskoden. Det vil gøre det meget svært at brute force adgangskoden, selvom databasen er stjålet, især hvis din source code ikke er blevet leaket. Læs evt. her: http://security.stackexchange.com/questions/3272/password-hashing-add-salt-pepper-or-is-salt-enough

Hvad har du at beskytte? Jeg mener...står din indsats mål med den værdi du vil beskytte? Hvis du ikke har noget af værdi så hvorfor øge sikkerheden og dine hash algoritmer?

Jeg har flere steder på nogle af mine sider en simpel beskyttelse med hardcoded password og en sessionsvariabel. På de sider har jeg ikke noget at beskytte, ikke noget jeg ville kunne genskabe fra en backup i løbet af få minutter.

altså jeg har par undervisning filer, og så er der de personlig info, der snakker vi om adr, telefon, email osv.

Når du skriver "Jeg har flere steder på nogle af mine sider en simpel beskyttelse med hardcoded password og en sessionsvariabel" hvordan har du så lavet det / gjort det?

Nu er jeg ikke skarp i PHP, men her er mit kode i pseudo:

$req_pass = REQUEST["Password"];
$req_user = REQUEST["username"];
if($req_pass == 'hemmeligt' && $req_user == 'username')
{
SESSION["loggedin"] = "TRUE";
}