Cos'è la crittografia hash o openssl con migliore salatura?

5

Sto usando php e stavo cercando di memorizzare le password in un database mysql. Mi chiedevo cosa sarebbe più sicuro usare un hash salato o una crittografia openssl? Se utilizzo un hash salato generato a caso univoco per ogni utente e memorizzo il sale nel database, c'è un modo in cui qualcuno può scoprire il sale e decrittografarlo? O se uso la funzione openssl_public_encrypt per crittografare la password usando la chiave pubblica è più sicuro quindi usare un hash salato?

    
posta Aaron Holland 01.06.2012 - 21:03
fonte

2 risposte

13

Generalmente hashing e crittografia sono per due cose diverse. La distinzione principale nel tuo caso è che l'hashing è unidirezionale e la crittografia è bidirezionale. Cioè, puoi decifrare la password per ottenerli in testo normale, ma non puoi "de-hash" qualcosa.

Se il sistema viene compromesso e si utilizza la crittografia, l'utente malintenzionato avrà probabilmente tutte le informazioni necessarie per decrittografare tutte le password. Questo ovviamente non è buono. Se hai cancellato la password, anche se l'autore dell'attacco ha avuto accesso alla password hash e ai seed, non è stato possibile ottenere la password in testo semplice.

Per questo motivo, è meglio hash la password anziché crittografarla. Ovviamente, questo presuppone che tu stia facendo l'hashing correttamente. Cerca in qualcosa come bcrypt per farlo per te.

    
risposta data 01.06.2012 - 21:13
fonte
3

Dovresti inserire la password usando scrypt, bcrypt o PBKDF2.

Ci sono molti consigli su questo sito proprio su questo argomento. Cerca "hashing password" e lo troverai.

Vedi, ad esempio, Come fare in modo sicuro le password di hash? , Quale metodo di hashing della password dovrei usare? , Algoritmo di hash della password più sicuro? , Gli esperti di sicurezza consigliano bcrypt per l'archiviazione della password? .

Si desidera utilizzare un algoritmo di hashing della password che sia il più lento possibile, per impedire attacchi di dizionario offline sulle password delle persone se il database è compromesso.

Cerca nel sito e troverai molto altro.

    
risposta data 03.06.2012 - 07:05
fonte

Leggi altre domande sui tag