Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

använda md5 för kryptering

happyfejs

Startad av happyfejs,
i Webbutveckling

Rekommendera Poster

happyfejs

happyfejs

Postad
Postad

jag använder md5 för att kryptera lösenord för användare som läggs till i databasen. Men så har jag även en knapp som heter glömt lösenord? Klickar man på den och skriver in sin epostadress så ska lösenordet skickas till vald epostadress.. Men just nu skickas ett krypterat lösenord, hur får jag tillbaka det till läsbart lösenord?

Länk till kommentar
Dela på andra webbplatser
Cluster

Cluster

Postad
Postad

Om du inte vill spara lösenord i klartext i databasen (vilket du naturligtvis har helt rätt i) så ska du väl inte heller skicka lösenordi i klartext över internet som mail?

 

Du får istället bygga en funktion som skickar en länk till användaren för att resetta sitt lösenord.

Länk till kommentar
Dela på andra webbplatser
happyfejs

happyfejs

Postad
  • Trådskapare
Postad

Okay, ja det är sant, tänkte mest att det inte var lika farligt att den skickade ett lösenord klartext. Jobbigt om databasen hackas och ALLA lösenord ligger i klartext?

Länk till kommentar
Dela på andra webbplatser
happyfejs

happyfejs

Postad
  • Trådskapare
Postad

Hur gör man en sån funktion på bästa sätt då? Kan ju inte gärna skicka epost adressen via en POST variabel till sidan som man får skriva in sitt nya lösenord på? :S

Länk till kommentar
Dela på andra webbplatser
Jonas__B

Jonas__B

Postad
Postad

du skall absolut köra hashning av lösenord ( t o m md5( $passw + $salt ) )

Om en användare glömt lösenordet så skapas ett nytt lösenord som skickas alternativt en länk till användarens epostadress för att återställa och skapa nytt lösenord på webbplatsen

Länk till kommentar
Dela på andra webbplatser
Anjuna Moon

Anjuna Moon

Postad
Postad

Som jonas säger så är em återställningslänk egentligen det enda alternativet, dels ur säkerhetsaspekten och dels för att alternativet blir att skapa ett nytt lösenord åt användare och skicka det i klartext till denna (du kan inte skicka det gamla lösenordet, hashning är en envägs-algoritm).

Sen rekommenderar jag att du använder en annan hash-algoritm än MD5. sha512 ska väl gå att använda från php?

Länk till kommentar
Dela på andra webbplatser
happyfejs

happyfejs

Postad
  • Trådskapare
Postad

Okay, håller på att göra en återställnignssida nu, men hur skickar jag en dold variabel med länken? Nu ser ju länken som de får i mailet ut så här typ www.dindomän.com/index.php?page=restorePass&user=53, vill isf att user ska vara dold..

 

vad är det för fel på md5?

Länk till kommentar
Dela på andra webbplatser
Cluster

Cluster

Postad
Postad

Okay, håller på att göra en återställnignssida nu, men hur skickar jag en dold variabel med länken? Nu ser ju länken som de får i mailet ut så här typ www.dindomän.com/index.php?page=restorePass&user=53, vill isf att user ska vara dold..

 

vad är det för fel på md5?

Varför inte skapa och skicka en hashad sträng av id, engångsnyckel och salt istället för userId?

http://www.dinsajt.nu/resetpass/?user=7af63fce961f0705a454d1aca0d57359

Eller använda e-postadressen :)

Länk till kommentar
Dela på andra webbplatser
Anjuna Moon

Anjuna Moon

Postad
Postad
vad är det för fel på md5?

Det är inte speciellt kollisionssäkert och är därför inte lämpligt som lösenordshash. sha512, som är baserat på SHA-2, ger dig en mycket bättre chans att undvika att två lösenord ger samma hash. Men du gör som du vill...

Länk till kommentar
Dela på andra webbplatser
happyfejs

happyfejs

Postad
  • Trådskapare
Postad

Aha, I see Anjuna.. Dock har jag redan skapat typ 50 stycken nu med en salt före och en efter, jobbigt att göra om alla en gång till?

 

Ska kika på att hasha id:et.. thanks :P

Länk till kommentar
Dela på andra webbplatser
happyfejs

happyfejs

Postad
  • Trådskapare
Postad

Hur jämnför jag den med databasen då? Om jag gör md5(user) som variabel i länken och ska kolla i databasen var email = $_POST[user]?

Länk till kommentar
Dela på andra webbplatser
Anjuna Moon

Anjuna Moon

Postad
Postad

Den enda grejen är att det gör det lite enklare för en brute-force-attack att knäcka lösenordskontrollen, eftersom det teoretiskt krävs färre försök att nå samma hashvärde, men i realiteten har du nog inget att oroa dig över (utan att veta vad det är för material på den lösenordsskyddade arean förstås).

Som wiki-hittad kuriosa kan väl nämnas att federala myndigheter i USA BÖR gå över till hashning av SHA-2-typ i år, i de fall där kollisions-beständighet är viktigt.

Länk till kommentar
Dela på andra webbplatser
happyfejs

happyfejs

Postad
  • Trådskapare
Postad

Löste det nu, kör databasen till den hittar en rad epost i md5 format som stämmer överens, tänkte ifall man kunde kryptera epostadresserna i databasen direkt i frågan?

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...