Я пытаюсь правильно настроить соль для каждого пользователя и сайта для своих паролей. Вот что у меня есть:
require('../../salt.php'); //this is above the web root and provides $salt variable
$pw = mysql_real_escape_string($_POST['pw']);
$per_user_salt = uniqid(mt_rand());
$site_salt = $salt //from salt.php that was required on first line
$combine = $pw . $per_user_salt . $site_salt;
$pw_to_put_in_db = hash("sha512", $combine);
Это правильно? Спасибо
часто люди используют уникальную соль, связанную с паролем, а затем используют метод hmac для добавления хэш-ключа для всего сайта:
http://www.php.net/manual/en/function.hash-hmac.php
$password = hash_hmac('sha512', $password . $salt, $sitewide_key);
Все в порядке, просто удалили "" из "sha512" :)
$pw = $_POST['pw'];
$per_user_salt = uniqid(mt_rand());
$site_salt = $salt //from salt.php that was required on first line
$combine = $pw . $per_user_salt . $site_salt;
$pw_to_put_in_db = hash(sha512, $combine);
не нужно использовать md5 sha512 сам по себе достаточно безопасен
Используйте crypt, он доступен на всех языках, и ваши хэши паролей будут использоваться и другими программами:
$hash = crypt("secret", "$6$randomsalt$");
Основываясь на комментариях, вот что я собираюсь сделать: изменить мой $combine на что-то уникальное для каждого пользователя, но не сохраненное в БД. Что-то вроде: $combine = $pw . md5($pw) . 'PoniesAreMagical' . $site_salt . md5($pw); и т.д. и т.д. и т.п... Спасибо за помощь...
Итак, для тех из вас, кто пытается понять, как это сделать в первый раз (например, я)... все дело в алгоритме... сделать что-то неясное, уникальное, сложное для понимания; потому что, если кто-то захочет проникнуть в вашу систему, ему придется это выяснить. Спасибо всем за классные комментарии.
md5($w) в качестве соли, любой, кто знает внутренности вашего алгоритма, может легко создать радужную таблицу для всей вашей пользовательской базы — в конце концов, у него есть все необходимые входные данные: пароль, хэш пароля (легко вычисляемый), пони- постоянная, а сайт-соль. безопасность через неясность никогда не работает!
- person knittl; 01.07.2011
mysql_real_escape_string. Результирующееhash()изменит любой недопустимый SQL на букву/цифру. (2) Убедитесь, что вы храните свой$per_user_saltбезопасным и надежным способом, чтобы получить его, когда ваши пользователи пытаются войти в систему со своим паролем. - person Charles Sprayberry schedule 25.06.2011INSERT INTO users (per_user_salt) VALUES ($per_user_salt)? - person Andrew Samuelsen schedule 25.06.2011$per_user_saltв кавычки (одинарные или двойные), так как ваш хэш представляет собой строку (например,INSERT INTO users (per_user_salt) VALUES ('$per_user_salt'). - person Francois Deschenes schedule 25.06.2011mysql_real_escape_string()прямо перед запросом к базе данных, а не в начале? - person maaudet schedule 25.06.2011salt . pw . per_user_salt, а затем хеширование ... если у вас есть лучшая рекомендация, пожалуйста дайте мне знать... я никогда не делал этого раньше.. - person Andrew Samuelsen schedule 25.06.2011hash("sha512", $pw . md5($pw) . $site_salt);, что примерно так же безопасно, как случайно сгенерированное число (пока вы никому не говорите свой алгоритм). Большим преимуществом является то, что взлом вашей базы данных (например, с помощью инъекции) не приведет к отображениюper_user_salt, так как это неstored. - person KilZone schedule 25.06.2011$combineна$combine = $pw . $per_user_salt . $site_salt . $site_salt . $per_user_salt . $pw;, это было бы более безопасно ...? или есть более простой способ сделать его более безопасным, например$combine = $pw . $per_user_salt . $site_salt . md5($pw);... - person Andrew Samuelsen schedule 25.06.2011$combineстановится более сложным, но мне больше нравится ваш последний вариант. Однако в конечном итоге все сводится к личным предпочтениям. Просто помните, что вашsalt-трюк — это форма безопасности через неизвестность, и чем меньше людей знают о том, как вы делаете$combine, тем лучше. Попробуйте придумать что-нибудь необычное, вроде тех двух, которые вы только что опубликовали, и все будет в порядке. - person KilZone schedule 25.06.2011