Alla ricerca di un modo sicuro e semplice per memorizzare le password con PHP 5.2.17 [duplicato]

-1

Ho trovato molti post su StackOverflow e altri siti che utilizzano Google, ma dal momento che la sicurezza è in continua evoluzione e ciò che era sicuro qualche mese fa non sono più io ... ho sentito il bisogno di chiedere qui.

Sfortunatamente il mio server non supporta Blowfish.

Sto cercando il modo più semplice per memorizzare le password in modo sicuro.

    
posta gb2016 20.05.2013 - 20:48
fonte

2 risposte

0

Il tempo è davvero la chiave. Qualsiasi algoritmo di hashing che richiede tempo sufficiente e non ha punti di debolezza diversi dalla velocità può essere utilizzato fintanto che viene eseguito abbastanza volte per renderlo impossibile da decifrare utilizzando i moderni approcci basati su GPU.

È preferibile utilizzare un hash crittografico stabilito, ma l'esecuzione di migliaia di iterazioni di un algoritmo casuale veloce ma affidabile può funzionare in un inceppamento finché viene utilizzata la salatura appropriata. (Sale diverso per ogni record al minimo, preferibilmente per ogni volta che viene scritto un record.) La chiave è assicurarsi che non sia possibile per un utente malintenzionato calcolare le password nel periodo di tempo per il quale sono valide. Tieni presente che le GPU possono eseguire molti hash più semplici molto velocemente, quindi il numero di iterazioni richieste può diventare elevato.

    
risposta data 20.05.2013 - 21:07
fonte
0

Per " store password sicuro " dovresti esaminare molti fattori, poiché anche un top -codice di dati crittografati in pubblico può rappresentare un vettore di attacco.

Poiché ti stai chiedendo in particolare in relazione a 5.2.17 di PHP , vorrei indicarti la moltitudine di Estensioni crittografiche che potrebbero (o potrebbero non) essere installate insieme all'installazione di PHP. Molto spesso (almeno secondo la mia esperienza personale) scoprirai che l'estensione Mcrypt è a disposizione. Se lo è, controlla la funzione mcrypt_list_algorithms , che restituisce una matrice di tutte le supportate cifre. Sarai sicuro di trovare qualcosa di buono come blowfish (o anche meglio) lì dentro.

Inoltre, non voglio premere il pulsante "Pubblica la tua risposta" senza dire che farai il tuo bene di sicurezza conservando i dati in un posto sicuro. Può trattarsi di un database o anche di un flatfile ... ma in caso di storage flatfile, assicurati che i file non siano accessibili pubblicamente per evitare buchi di sicurezza indesiderati.

    
risposta data 20.05.2013 - 21:10
fonte

Leggi altre domande sui tag