Archivia i sali hash e / o crittografia nel database [duplicato]

Naviga le tue risposte
0

Sto facendo un login personalizzato per scopi pratici, e mi sto chiedendo quale sarebbe il modo logico per salvare la password hash e i sali.

  • Le operazioni Salt / Hash utilizzano la classe Rfc2898DeriveBytes.

Per ora, è così:

  • L'utente si registra, la password viene crittografata con un salt casuale (che viene salvato nel database) e hash con un salt codificato con 10000 iterazioni.

Poiché le iterazioni possono essere aumentate nel tempo a causa di miglioramenti computazionali, sto salvando le iterazioni di Hash (le iterazioni di crittografia sono codificate) sul database.

Vorrei avere opinioni su quanto sia sicuro un hash hard codificato, o se dovrei renderlo casuale e aggiungere anche il hash salt al database.

    
posta Dillinger 28.09.2015 - 17:12
fonte

1 risposta

-1

Ti consiglio di utilizzare una stringa statica come sale, ad esempio "thisisstaticand10000characterslong" . Usa la password all'interno di questo ( $salt1.$post['password'].$salt2) . Quindi cancellarlo con MD5. Se l'utente desidera accedere, si esegue lo stesso metodo per verificare se la password inserita dall'utente è corretta. 

if(md5(($salt1.$_POST['password'].$salt2) == $password)
{ 
    /* Your code */
}
    
risposta data 28.09.2015 - 17:50
fonte

Leggi altre domande sui tag

Elenco di accesso preferito (AP canaglia WPA2) Quale tipo di attacco può abbattere un sito web servendo un ciclo di reindirizzamento?