تفاوت رمزنگاری پسورد ها چیست؟ بهترین روش رمزنگاری چیست؟

[JeyServer]

سالیان ساله که دارند داد میزنند که md5 و sha1 برای هش رمز ها استفاده نکنید!

روشی برای نگهداری رمز ها امنه که اگر n بار یک داده رو با الگوریتم موردنظر مورد پردازش قرار بدید هر بار مقدار متفاوتی خروجی بده. (در خصوص الگوریتم نامتقارن تحقیق بفرمایید.)
البته لازمه که بدونید شما نیاز ندارید تا رمز کاربر رو encrypt کنید و در دیتابیس ذخیره کنید، صرفا لازم دارید تا نشانه ای از رمز رو نگهداری کنید و هربار با ورود مجدد رمز اون رو با نشانه ای که قبل از ذخیره کردید مقایسه کنید و این مورد ربطی به رمزنگاری نداره!

راهکار جایگزین:
http://ir2.php.net/password_hash
http://ir2.php.net/password_verify

[RayanPartoCo]

سالیان ساله که دارند داد میزنند که md5 و sha1 برای هش رمز ها استفاده نکنید!

روشی برای نگهداری رمز ها امنه که اگر n بار یک داده رو با الگوریتم موردنظر مورد پردازش قرار بدید هر بار مقدار متفاوتی خروجی بده. (در خصوص الگوریتم نامتقارن تحقیق بفرمایید.)
البته لازمه که بدونید شما نیاز ندارید تا رمز کاربر رو encrypt کنید و در دیتابیس ذخیره کنید، صرفا لازم دارید تا نشانه ای از رمز رو نگهداری کنید و هربار با ورود مجدد رمز اون رو با نشانه ای که قبل از ذخیره کردید مقایسه کنید و این مورد ربطی به رمزنگاری نداره!

راهکار جایگزین:
http://ir2.php.net/password_hash
http://ir2.php.net/password_verify

اما الان بهترین فریم ورک های php هم دارند از همین روش برای هش کردن پسوردها استفاده میکنند.
اما راه های جایگزین که شما فرمودید هم بسیار عالی است

[be099]

اما الان بهترین فریم ورک های php هم دارند از همین روش برای هش کردن پسوردها استفاده میکنند.
اما راه های جایگزین که شما فرمودید هم بسیار عالی است

خود پسورد هیچوقت مستقیم هش نمیشه

مثلا

کد:

<?php
echo md5(sha1(strrev(sha1(base64_encode(sha1(strrev(str_rot13(md5("123456")))))))));
?>

میشه 0a5b34558530033e62378f451d262808
که اگه شما تا هزار سال دیگم بشینی نمیتونی کرکش کنی

[hoka]

خود پسورد هیچوقت مستقیم هش نمیشه

مثلا

کد:

<?php
echo md5(sha1(strrev(sha1(base64_encode(sha1(strrev(str_rot13(md5("123456")))))))));
?>

میشه 0a5b34558530033e62378f451d262808
که اگه شما تا هزار سال دیگم بشینی نمیتونی کرکش کنی

حالا نمیخواست اینقدر بلا به سرش بیاری

[SamaN DL]

خود پسورد هیچوقت مستقیم هش نمیشه

مثلا

کد:

<?php
echo md5(sha1(strrev(sha1(base64_encode(sha1(strrev(str_rot13(md5("123456")))))))));
?>

میشه 0a5b34558530033e62378f451d262808
که اگه شما تا هزار سال دیگم بشینی نمیتونی کرکش کنی

بسیار جالب بود تشکر بابت ایجاد تاپیک
جسارتا اگر برای دیکد کردن انقدر زمان لازمه چطور از دیتابیس به سادگی قابل خواندن هست!؟
یعنی عملا دیتا بیس دی کد میکنه یا cms?

[be099]

بسیار جالب بود تشکر بابت ایجاد تاپیک
جسارتا اگر برای دیکد کردن انقدر زمان لازمه چطور از دیتابیس به سادگی قابل خواندن هست!؟
یعنی عملا دیتا بیس دی کد میکنه یا cms?

خیلی راحت

شما موقع ثبت نام وقتی یوزر اطلاعاتشو وارد کرد 0a5b34558530033e62378f451d262808 توی دیتابیس با یوزر نیم مثلا mohammad ذخیره میکنی

بعد که کاربر خواست وارد بشه توی سایت یا اپ

mohammad برای یوزر نیم
و
123456 برای پسورد وارد میکنه

بعد توی سرور موقع دریافت اطلاعات شما یوزرنیمو همون میذاری
بعد با همون روش بالا دوباره 123456 هش میکنی
دوباره به همون مقداری میرسی که قبلا ذخیره کرده بودی

بعد یه درخواست به دیتابیس میفرستی برای انتخاب یوزر نیم با پسورد هش شده
اگر اوکی بود کوکی یا sp توی مرورگر یا اپ ذخیره میکنی با یه توکن و یوزر آی دی و هرچی یا هرجور که میخوای یوزرو شناسایی کنی و بقیه ی ماجرا ...

البته تمام این جریانات حتما باید روی ssl باشه وگرنه بی ارزشه

- - - Updated - - -

حالا نمیخواست اینقدر بلا به سرش بیاری

یکی از سرگرمیام همینه