Diskuze: Ktorú hashovaciu funkciu použiť?

V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.

Aktivity

Lava

Člen

Lava:10.2.2015 14:14

Doteraz som používal md5, ale údajne je to už prelomená šifra. Čo používate vy? Ja rozmýšľam nad sha1. Treba mi poprerábať nejaké systémy, tak sa radšej spýtam teraz

Odpovědět

10.2.2015 14:14

Aspartám, sacharín, to je môj vitamín

mkub

Tvůrce

mkub:10.2.2015 14:21

sha256 este nejaky cas tu bude, myslim, ze ani blowfish nebol prelomeny...
takisto treba aby si pouzival dostatocne dlhy kluc (256-tkovy by som v ziadnom pripade nepouzil, radsej 2048-tkovy) a este treba danu sifru aj osolit...

a co sa tyka dlzky kluca, tak tu treba ratat s tym, ze vypocet hashu je narocnejsie v zavislosti od dlzky daneho kluca a od algoritmu

Nahoru Odpovědět

10.2.2015 14:21

Matúš Petrofčík

Tvůrce

Matúš Petrofčík:10.2.2015 14:24

u mňa je to hash(); a algoritmus sha512 ktorý generuje 128-znakový string

uvediem príklad

public function getHash($string){
    return hash("sha512", $string . "solJodidovana158#@?");
}

niektorí robia tak, že každý užívateľ má ešte inú soľ, a videl som aj funkciu crypt() a bitový posun stringu na bežné veci ale postačí to čo som uviedol ako príklad, teda aspoň myslím

Nahoru Odpovědět

10.2.2015 14:24

obsah kocky = r^2 ... a preto vlak drnká

Tonda Kozák

Člen

Tonda Kozák:10.2.2015 14:34

No, prolomená šifra... U toho MD5 došlo k tomu, že se našlo pár kolizí - což vadí hlavně u digitálního podepisování, u schovávání hesel to zas takový problém není. Ale i přesto se moc nedoporučuje tuto funkci používat.
<i>(Mimochodem, šifru lze zpětně dekódovat, my se ale bavíme o hashování, tam je to jen jednosměrné.)</i>

U SHA1 je problém v rychlosti - je moc rychlá, proto se tabulka hashů dá vytvořit relativně snadno.

Z pomalých hashovacích funkcí zmíním třeba Bcrypt (nejdostupnější), kterou PHP používá ve funkcích password_hash() a crypt().
http://php.net/…assword_hash
http://php.net/function.crypt

Bacha na to, že password_hash() je dostupný až od PHP 5.5, takže někde to nemusí fungovat (nutno zjistit na hostingu).

Stejnou otázkou jsem se před nedávnem také zabýval a vybral jsem si crypt().

Nahoru Odpovědět

10.2.2015 14:34

David Hartinger

Vlastník

David Hartinger:10.2.2015 14:36

V PHP jsou od 5.5 nějaké nové fce. md5, sha1 i sha256 na hesla dnes již nestačí. Více info zde - http://php.net/…asswords.php

Nahoru Odpovědět

10.2.2015 14:36

New kid back on the block with a R.I.P

Neaktivní uživatel

Tvůrce

Neaktivní uživatel:10.2.2015 15:08

Sha512 je najlepšie šifrovanie v PHP

Nahoru Odpovědět

10.2.2015 15:08

Neaktivní uživatelský účet

Uživatel sítě

Tvůrce

Uživatel sítě :10.2.2015 16:28

Hash jako takový vůbec původně nesloužil k ukládání hesel. Jednalo se spíže o převedení vstupních dat do kontrolního součtu/čísla, které je právě hash.

Většina hashů jsou prolomena tím způsobem, že na netu jsou databáze hashů a v kolika případech když dáte strejdovi(google) hash tak vám najde hned první výsledek, který řekne co se to pod tím hashem vlastně skrývá.

Když šifrovat hesla tak funkcí, která je k tomu určená (password_hash -> http://php.net/…ord-hash.php)

Neaktivní uživatel Nesouhlasím, sha512 ani k tomu není původně vůbec navržena.

Lava Použi funkci password_hash, s algoritmem bcrypt (PASSWORD_BCRYPT) a cost parametrem nejméně 12.
Salt v tomto případě nemusíš vůbec řešit, tato funkce si ji pro každého uživatele vytvoří sama. Nejlepší je vygenerovat sůl tím co ví jak na to..

Nahoru Odpovědět

10.2.2015 16:28

Chybami se člověk učí, běžte se učit jinam!

Dominik Gavrecký

Tvůrce

Dominik Gavrecký:10.2.2015 16:44

Ja osobne používam md5 týmto štýlom.

md5(md5($_POST['password']))

Nahoru Odpovědět

10.2.2015 16:44

Hlupák nie je ten kto niečo nevie, hlupákom sa stávaš v momente keď sa na to bojíš opýtať.

Lava

Člen

Lava:10.2.2015 17:03

No tak toto už je naozaj metal

A keď niekto prelomí, tak potom použiješ

md5(md5(md5($_POST["password"])))?

Nahoru Odpovědět

10.2.2015 17:03

Aspartám, sacharín, to je môj vitamín

Uživatel sítě

Tvůrce

Uživatel sítě :10.2.2015 17:20

Tím, že zacyklíš ten hash tak ho nezpomalíš spíže zhoršíš/poškodíš ten algoritmus. Toto je největší hloupost, opravdu toto nepoužívat. MD5 vůbec nepoužívat ve spojení s heslem, vůbec k tomu není určený ani..

Nahoru Odpovědět

10.2.2015 17:20

Chybami se člověk učí, běžte se učit jinam!

Matúš Petrofčík

Tvůrce

Matúš Petrofčík:10.2.2015 17:32

lol fun, nebrať si príklad!

md5(sha1(password))
md5(md5(salt) + md5(password))
sha1(sha1(password))
sha1(str_rot13(password + salt))
md5(sha1(md5(md5(password) + sha1(password)) + md5(password)))

Nahoru Odpovědět

10.2.2015 17:32

obsah kocky = r^2 ... a preto vlak drnká

Uživatel sítě

Tvůrce

Uživatel sítě :10.2.2015 17:44

Nahoru Odpovědět

10.2.2015 17:44

Chybami se člověk učí, běžte se učit jinam!

Neaktivní uživatel

Tvůrce

Neaktivní uživatel:10.2.2015 18:18

sha512 síce nie je priamo hashovacia funkcia na heslá ale nie každý server má PHP 5.5 a vyššie.

Nahoru Odpovědět

10.2.2015 18:18

Neaktivní uživatelský účet

Uživatel sítě

Tvůrce

Uživatel sítě :10.2.2015 18:28

Tak stále můžeš použít crypt, ten podporuje také šifrování pomocí Blowfishe.
Pořád to je pomalejší než sha512.

Nahoru Odpovědět

10.2.2015 18:28

Chybami se člověk učí, běžte se učit jinam!

Naučíme tě pracovat na home-office.

Zjistit více...

Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 14 zpráv z 14.

Nejčastěji vyhledáváné

Diskuze: Ktorú hashovaciu funkciu použiť?