نمایش نسخه قابل چاپ
سلام و خسته نباشید
معمولا برای ذخیره سازی یکسری اطلاعات مهم توی دیتابیس ما از md5 - hash - crc32 و... استفاده می کنیم که بصورت ظاهری پسورد مستقیم تو دیتابیس ذخیره نمیشه....
اما امنیت این نوع کد گذاری هم بالا نیست و راحت کد رو بدین دست یکی حتی با سرچ ساده میاد دیکد میکنه و رمز رو می بینه
به نظرتون برای ذخیره سازی یک مقدار بسیار امنیتی چطوری کد کنیم و با خیال راحت تو دیتابیس ذخیره کنیم؟
ممنون میشم راهنمائیم بکنید
تشکر
پسورد قوی وظیفه خود کاربر است. شما برای نگهداری همون md5 با کمی نمک (جستجو کن password salt) میتونی ذخیره کنی.
درستهنقل قول:
نوشته اصلی توسط MJmoonwalk
فرض کنید کاربر این رمز رو داد: " F36*Y%5eg653G "
حالا این md5 یا هش میشه و تو دیتابیس ذخیره میشه، همین مقداری که تو دیتابیس ذخیره شده رو بدین به کسی به راحتی میتونه پسورد اصلی رو در بیاره! درسته؟؟؟ پس درواقع اون طور که میتونست از رمز محافطت کنه نتونسته این کد گذاری خوب عمل کنه
من توی انجمن فک کنم مجید آنلاین بود یک مطلب در این مورد دیده بودم که رمز گذاری بسیار امنی رو معرفی کرده بود و....
عرض سلام و احترام
می تونید الگوی خودتون رو درست کنید که اگر رمزتون هم لو رفت حتی با دیکد کردن به رشته ی اصلی دسترسی نداشته باشند.
ساده ترین راه می تونید رشته ی پسورد را بگیرید و تک تک کاراکتر ها را جدا کنید.
حال کد اسکی هر کاراکتر را بدست بیارید و با عددی دیگر یا حروفی دیگر ترکیب کنید.
در نهایت کل کاراکتر هارا کنار یکدیگر بزارید و دوباره هَش کنید.
Sent from my SM-G920F using Tapatalk
دوست عزیز سلام
به اصطلاح یک مقدار نمکبه پسورد بزنید
بعد md5 کنین کسی نمیتوپه دیکد کنه
مگه اینکه روز ها شاید هم هفته هاوقت بزاره اونم اگه بشه
شما تست کنسایت های دیکدmd5 انلاین
یه پسورد رو مقداری نمک بزن بعد ببینمیتونه دیکد کنه یا نه
۹۹ درصد نمیتونه
درواقع این سایت ها دیکد نمی کنن و از دیتابیس پسورد استفاده می کنند.نقل قول:
نوشته اصلی توسط mojtabakh18
اگر شخص واقعا به دنبال پسورد باشه هفته ها و شاید سال ها با استفاده از روش هایی این کار را خواهد کرد.
به عنوان مثال با روش brute force می تونید پسورد را دیکد کنید اما پردازنده ی قوی نیاز هست که قطعا کسی که چنین کاری بخواهد انجام بده با سیستم شخصی انجام نمیده و استفاده از این روش قطعی هست اما زمان زیادی صرف خواهد کرد.این روش تمام حالت ها و کاراکترها را کنار هم قرار خواهد داد تا مقدار هش پیدا شود.
البته اگر از الگوی پیچیده تر استفاده کنید زمانی که به پسورد برسند بازهم به چیزی نرسیده اند.
Sent from my SM-G920F using Tapatalk
سلام
اگه برای php می خواین خود php در لینک زیر گفته که برای هش کردن پسورد و سایر اطلاعات مهم به جای الگوریتم های md5 و sha1 و... از Blowfish که پیشنهادی خودش هست استفاده کنید.
http://php.net/manual/en/faq.passwords.php
http://s8.picofile.com/file/8291789026/php_crypt.png
قطعا کسی همچین سیستمی دارهنقل قول:
نوشته اصلی توسط shahinmq
نمیاد پسورد ماها رو دیکد کنه خخخ
خیلی پیچیده نیست ، قبلا نوشتیم و افرادی دیگر هم نوشتند.نقل قول:
نوشته اصلی توسط mojtabakh18
از مقدار 0 شروع به تست کردن میکنه و کد کردن می کند تا انواع ترکیب ها را بررسی کنه و درنهایت مقدار کد شده را با کد شما را مقایسه می کند.
زمانی که دو مقدار کد شده برابر هم باشند یعنی کد پیدا شده.
فقط با سیستم شخصی برای پسورد های طولانی اصلا قابل استفاده نیست و درصورتی که زمان استفاده طولانی شود کار بجایی خواهد رسید که ماوس شما هم تکون نمی خوره و فشار زیادی روی cpu خواهد بود(طبق تجربه)
شما میتونید به اخر هر رمز یه عدد خاصی اضافه کنید مثلا اگر کاربر این رمز رو زد
1234kiava
به اخرش طبق تعریف شده 5678 اضافه بشه
1234kiava5678
بعدش هش میکنید sha1 بهتره تا md5 و بعدش تعیین میکنید هر کاربری رمز رو زد به اخرش اون الگوریتم رو اضافه کنه وبرسی کنه اگر توی دیتابیس بود وارد بشه