Avatar
Jiří Gracík
Redaktor
Avatar
Jiří Gracík:

Zdravím, chci si naprogramovat web s registracemi a aukcí pro herní server. Nikdy jsem ještě do Databáze neukládal hesla atd, snažil jsem se v adminovi najít nějaký způsob šifrování, ale nic takového jsem nenašel, asi špatně hledám :D Jaký mám použít datový typ, kde najdu nějakou možnost šifrování? Má se to šifrovat v PHP scriptu nebo až v databázi?

Odpovědět 13.4.2013 14:05
Creating websites is awesome till you see the result in another browser ...
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na Jiří Gracík
David Čápka:

Zašifruješ si to v PHPčku. Budeš potřebovat funkci hash s nějakým rozumným algoritmem a sůl.

Nahoru Odpovědět 13.4.2013 14:11
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
Jiří Gracík
Redaktor
Avatar
Odpovídá na David Čápka
Jiří Gracík:

Yes, to jsem našel něco v ASPčku:

http://www.aspheute.com/…20040105.asp

Je tohle možný nějak udělat i v PHP :P?

Nahoru Odpovědět 13.4.2013 14:13
Creating websites is awesome till you see the result in another browser ...
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na Jiří Gracík
David Čápka:

Stačí to mnohem jednodušeji, třeba takhle:

function otiskHesla($heslo)
{
  return hash('SHA512', $heslo . 'mojeUNIkatNiSUl456');
}

EDIT: měl jsem tam blbě závorku :)
Editováno 13.4.2013 14:16
Nahoru Odpovědět 13.4.2013 14:15
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
Jiří Gracík
Redaktor
Avatar
Odpovídá na David Čápka
Jiří Gracík:

a když to chci zase rozšifrovat tak se to znovu hashuje :P?

Nahoru Odpovědět 13.4.2013 14:22
Creating websites is awesome till you see the result in another browser ...
Avatar
anonyma645
Člen
Avatar
anonyma645:

Mas v DB hash, a formular pro prihlaseni. Zahashujes heslo a zkontrolujes hash hesla s tim heslem ktere mas ulozene v DB.

 
Nahoru Odpovědět 13.4.2013 14:43
Avatar
Eflyax
Člen
Avatar
Odpovídá na Jiří Gracík
Eflyax:

Znovu se to již nehashuje. Obecně platí, že to, co je zahashované už nejde nikdy rozšifrovat. No, jde to... ale to bych teď neřešil :)

Hashování si můžeš představit jako otisky prstů u lidí. Pokud chceš nějaké hesla zašifrovat, je to jako kdyby jsi někomu vzal otisk prstu. Z otisku prstu nikdo nezjistí, kdo je ta konkrétní osoba -> stejně tak z hashe hesla.

Pokud se pak tedy chce někdo přihlásit, tak heslo které zadal zahashuješ a porovnáš ho s hashem hesla v databázi (Porovnáš otisky prstů).

Jak jsem psal, lze to "dešifrovat" (ne v pravém slova smyslu). Existují databáze (rainbow tables) kde jsou tyto hesla předem vypočítaná (zašifrovaná) -> zde pak vyhledáváš konkrétní hash (otisk) a vedle něj je v databázi uložené heslo. Je to tedy něco jako databáze otisků prstů, kde si můžeš k otisku prstu najít konkrétního člověka (konkrétní heslo). Aby se zabránilo tyto hesla předem vypočítávat, používá se ještě takzvaná "sůl". Tato sůl otisk hesla pozmění. Pokud sůl používáš, musíš ji pak používat všud v programu (stejnou) jako je třeba registrace, přihlašování, změna hesla atd. Osobně doporučuji jako sůl používat například uživatelské jméno -> pokud ti pak někdo nabourá DB a stáhni se hashe a začne je lámat, bude mít trochu problém. Pokud dešifruje jedno heslo, tak i přesto, že dva uživatelé mají heslo stejné, tak nenajde dva stejné otisky (každý uživatel má jinou sůl).

Editováno 13.4.2013 14:45
Nahoru Odpovědět  +1 13.4.2013 14:45
Keep it simple
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na Jiří Gracík
David Čápka:

Nepleť si šifrování a hashování. Šifrovaný text lze dešifrovat. Hash je otisk, který ztrácí původní informaci a je tedy nevratný. Kvůli tomu je hashování hesel bezpečné, jelikož ty heslo uživatele ani neznáš, znáš jen jeho otisk. I kdyby ti ukradli databázi otisků, tak původní hesla uživatelů již nikdo nezíská. Vím o velkých firmách, co hesla jen šifrují (což je špatně, mají se hashovat), proto když se někam registruji, generuji si náhodné heslo, nikde nemám stejné.

Nahoru Odpovědět  +1 13.4.2013 14:58
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
Jiří Gracík
Redaktor
Avatar
Jiří Gracík:

áha, tak to potom jo. Takže je bezpečný mít sůl s hashovaným heslem v databázi, když se k tomu někdo dostane tak je mu to stejně k ničemu :)

Paráda, díky vám, dobré víly :D

Editováno 13.4.2013 15:09
Nahoru Odpovědět 13.4.2013 15:07
Creating websites is awesome till you see the result in another browser ...
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na Jiří Gracík
David Čápka:

Sůl připojíš k heslu přes vytvořením hashe. Je to z toho důvodu, že pro několik nejznámějších hesel (třeba když si nějaký idiot dá jako heslo "password") existují zde již zmíněné rainbow tabulky, kde se dá podle otisku zjistit původní heslo. Když ti někdo zadá password a ty k tomu připojíš sůl, budeš mít passwordMojeSUl54, to už v tabulce mít nebudou.

Nahoru Odpovědět 13.4.2013 15:10
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 10.