Just nu i M3-nätverket
Jump to content

använda md5 för kryptering


happyfejs

Recommended Posts

jag använder md5 för att kryptera lösenord för användare som läggs till i databasen. Men så har jag även en knapp som heter glömt lösenord? Klickar man på den och skriver in sin epostadress så ska lösenordet skickas till vald epostadress.. Men just nu skickas ett krypterat lösenord, hur får jag tillbaka det till läsbart lösenord?

Link to comment
Share on other sites

Om du inte vill spara lösenord i klartext i databasen (vilket du naturligtvis har helt rätt i) så ska du väl inte heller skicka lösenordi i klartext över internet som mail?

 

Du får istället bygga en funktion som skickar en länk till användaren för att resetta sitt lösenord.

Link to comment
Share on other sites

Okay, ja det är sant, tänkte mest att det inte var lika farligt att den skickade ett lösenord klartext. Jobbigt om databasen hackas och ALLA lösenord ligger i klartext?

Link to comment
Share on other sites

Hur gör man en sån funktion på bästa sätt då? Kan ju inte gärna skicka epost adressen via en POST variabel till sidan som man får skriva in sitt nya lösenord på? :S

Link to comment
Share on other sites

du skall absolut köra hashning av lösenord ( t o m md5( $passw + $salt ) )

Om en användare glömt lösenordet så skapas ett nytt lösenord som skickas alternativt en länk till användarens epostadress för att återställa och skapa nytt lösenord på webbplatsen

Link to comment
Share on other sites

Som jonas säger så är em återställningslänk egentligen det enda alternativet, dels ur säkerhetsaspekten och dels för att alternativet blir att skapa ett nytt lösenord åt användare och skicka det i klartext till denna (du kan inte skicka det gamla lösenordet, hashning är en envägs-algoritm).

Sen rekommenderar jag att du använder en annan hash-algoritm än MD5. sha512 ska väl gå att använda från php?

Link to comment
Share on other sites

Okay, håller på att göra en återställnignssida nu, men hur skickar jag en dold variabel med länken? Nu ser ju länken som de får i mailet ut så här typ www.dindomän.com/index.php?page=restorePass&user=53, vill isf att user ska vara dold..

 

vad är det för fel på md5?

Link to comment
Share on other sites

Okay, håller på att göra en återställnignssida nu, men hur skickar jag en dold variabel med länken? Nu ser ju länken som de får i mailet ut så här typ www.dindomän.com/index.php?page=restorePass&user=53, vill isf att user ska vara dold..

 

vad är det för fel på md5?

Varför inte skapa och skicka en hashad sträng av id, engångsnyckel och salt istället för userId?

http://www.dinsajt.nu/resetpass/?user=7af63fce961f0705a454d1aca0d57359

Eller använda e-postadressen :)

Link to comment
Share on other sites

vad är det för fel på md5?

Det är inte speciellt kollisionssäkert och är därför inte lämpligt som lösenordshash. sha512, som är baserat på SHA-2, ger dig en mycket bättre chans att undvika att två lösenord ger samma hash. Men du gör som du vill...

Link to comment
Share on other sites

Aha, I see Anjuna.. Dock har jag redan skapat typ 50 stycken nu med en salt före och en efter, jobbigt att göra om alla en gång till?

 

Ska kika på att hasha id:et.. thanks :P

Link to comment
Share on other sites

Hur jämnför jag den med databasen då? Om jag gör md5(user) som variabel i länken och ska kolla i databasen var email = $_POST[user]?

Link to comment
Share on other sites

Den enda grejen är att det gör det lite enklare för en brute-force-attack att knäcka lösenordskontrollen, eftersom det teoretiskt krävs färre försök att nå samma hashvärde, men i realiteten har du nog inget att oroa dig över (utan att veta vad det är för material på den lösenordsskyddade arean förstås).

Som wiki-hittad kuriosa kan väl nämnas att federala myndigheter i USA BÖR gå över till hashning av SHA-2-typ i år, i de fall där kollisions-beständighet är viktigt.

Link to comment
Share on other sites

Löste det nu, kör databasen till den hittar en rad epost i md5 format som stämmer överens, tänkte ifall man kunde kryptera epostadresserna i databasen direkt i frågan?

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...