पासवर्ड एन्क्रिप्ट

वोट
27

सबसे तेजी से, अभी तक सुरक्षित (PHP पसंदीदा) में पासवर्ड एन्क्रिप्ट करने के तरीका क्या है, और जिसके लिए आपके द्वारा चुने गए किसी रीति का यह पोर्टेबल है?

दूसरे शब्दों में मैं बाद में एक अलग सर्वर मेरे पासवर्ड काम करना जारी रखेंगे के लिए मेरी वेबसाइट की ओर पलायन तो क्या होगा?

विधि मैं अब उपयोग कर रहा हूँ के रूप में मुझे बताया गया था पुस्तकालयों सर्वर पर स्थापित की सटीक संस्करणों पर निर्भर है।

03/08/2008 को 12:50
का स्रोत उपयोगकर्ता
अन्य भाषाओं में...                            


7 जवाब

वोट
29

यदि आप अपने प्रवेश प्रणाली के लिए कोई एन्क्रिप्शन विधि चयन कर रहे हैं तो गति नहीं अपने दोस्त, जेफ एक पासवर्ड के बारे में थॉमस Ptacek के साथ करने के लिए और frow था जाता है और निष्कर्ष था कि आप धीरे, सबसे सुरक्षित एन्क्रिप्शन विधि आप के लिए खर्च कर सकते हैं का उपयोग करना चाहिए ।

थॉमस Ptacek के ब्लॉग से:
स्पीड वास्तव में क्या आप एक पासवर्ड हैश समारोह में नहीं करना चाहती है।

आधुनिक पासवर्ड योजनाओं वृद्धिशील पासवर्ड पटाखों के साथ हमला करते हैं।

इंक्रीमेंटल पटाखे हर संभव फटा पासवर्ड precalculate नहीं है। वे एक पासवर्ड हैश को व्यक्तिगत रूप से विचार करना है, और वे पासवर्ड हैश समारोह के माध्यम से एक ही तरह से अपने PHP प्रवेश पृष्ठ होगा उनके शब्दकोश खाते हैं। Ophcrack तरह इंद्रधनुष तालिका पटाखे पासवर्ड हमला करने के लिए स्थान का उपयोग करें; सांख्यिकी और गणना: जॉन खूनी, क्रैक, और समय के साथ LC5 काम की तरह वृद्धिशील पटाखे।

पासवर्ड हमले खेल पासवर्ड एक्स दरार करने के इंद्रधनुष तालिकाओं के साथ लिया समय में स्कोर किया जाता है, उस समय कितना बड़ा अपनी मेज हो सकता है और कितनी तेजी से आप इसे खोज कर सकते हैं की जरूरत है पर निर्भर करता है। वृद्धिशील पटाखे के साथ, समय कितनी तेजी से आप पासवर्ड हैश फंक्शन रन बना सकते हैं पर निर्भर करता है।

बेहतर आप अपना पासवर्ड हैश समारोह का अनुकूलन कर सकते हैं, तेजी से अपना पासवर्ड हैश फंक्शन हो जाता है, कमजोर आपकी योजना है। MD5 और SHA1, डेस की तरह भी पारंपरिक ब्लॉक सिफर, तेजी से करने के लिए डिज़ाइन कर रहे हैं। MD5, SHA1, और डेस कमजोर पासवर्ड हैश कर रहे हैं। आधुनिक CPUs पर, डेस और MD5 जैसे कच्चे क्रिप्टो बिल्डिंग ब्लॉक्स, bitsliced ​​किया जा सकता है vectorized, और पासवर्ड खोजें बिजली की तेजी बनाने के लिए parallelized। खेल से अधिक FPGA कार्यान्वयन डॉलर के केवल सैकड़ों खर्च।

03/08/2008 को 13:48
का स्रोत उपयोगकर्ता

वोट
14

मैं पीटर के साथ कर रहा हूँ। डेवलपर पासवर्ड को समझने के लिए नहीं है। हम सब लेने (और मैं यह भी का दोषी हूँ) MD5 या SHA1 क्योंकि वे तेजी से कर रहे हैं। इसके बारे में सोच रही थी ( 'कोई cuz हाल ही में इसे बाहर मुझे की ओर इशारा) है कि किसी भी मतलब नहीं है। हम एक हैशिंग एल्गोरिथ्म कि बेवकूफ धीमी है उठा दिया जाना चाहिए। मेरा मतलब है, चीजों के पैमाने पर, एक व्यस्त साइट पासवर्ड क्या हैश होगा? हर 1/2 मिनट? कौन परवाह करता है अगर यह बुद्धिमान बनाम 0.03 सेकंड सर्वर 0.8 सेकंड का समय? लेकिन उस अतिरिक्त सुस्ती आम जानवर-forcish हमलों के सभी प्रकार को रोकने के लिए बहुत बड़ा है।

मेरे पढ़ने से, bcrypt विशेष रूप से सुरक्षित पासवर्ड हैशिंग के लिए बनाया गया है। यह ब्लोफिश पर आधारित है, और कई कार्यान्वयन कर रहे हैं।

पीएचपी के लिए, बाहर की जाँच PHPPass http://www.openwall.com/phpass/

किसी को भी नेट कर के लिए, बाहर की जाँच BCrypt.NET http://derekslager.com/blog/posts/2007/10/bcrypt-dotnet-strong-password-hashing-for-dotnet-and-mono.ashx

03/08/2008 को 14:48
का स्रोत उपयोगकर्ता

वोट
8

यह मुद्दा उठाया जाना चाहिए कि आप नहीं करना चाहते एन्क्रिप्ट पासवर्ड, आप करना चाहते हैं हैश यह।

एन्क्रिप्टेड पासवर्ड decrypted किया जा सकता है, जिससे किसी को पासवर्ड देखते हैं। हैशिंग में वन-वे संचालन तो उपयोगकर्ता की मूल पासवर्ड (क्रिप्टोग्राफी द्वारा) चला गया है।


के रूप में जो एल्गोरिथ्म के लिए आप का चयन करना चाहिए - का उपयोग वर्तमान में स्वीकृत मानक से एक:

  • SHA-256

और जब आप उपयोगकर्ता का पासवर्ड हैश, भी इसके साथ कुछ अन्य कबाड़ में हैश कर लें। उदाहरण के लिए:

  • पारण शब्द: password1
  • नमक: PasswordSaltDesignedForThisQuestion

उपयोगकर्ता का पासवर्ड के लिए नमक जोड़ें:

String s = HashStringSHA256("password1PasswordSaltDesignedForThisQuestion");
17/09/2008 को 19:06
का स्रोत उपयोगकर्ता

वोट
7

आप जो भी करते हैं, अपनी खुद की एन्क्रिप्शन एल्गोरिथ्म नहीं लिखते। ऐसा करने से यह लगभग गारंटी देगा (जब तक आप एक cryptographer रहे हैं) है कि वहाँ एल्गोरिथ्म है कि यह दरार करने के तुच्छ कर देगा में एक दोष हो जाएगा।

17/09/2008 को 19:16
का स्रोत उपयोगकर्ता

वोट
2

उपयोग करने के लिए विचार करें bcryptयह laravel जैसे कई आधुनिक चौखटे में प्रयोग किया जाता है।

16/07/2016 को 07:47
का स्रोत उपयोगकर्ता

वोट
2

मैं जरूरी सबसे तेजी से लेकिन एक अच्छा संतुलन के लिए नहीं देख रहा हूँ, सर्वर है कि इस कोड के लिए विकसित किया जा रहा है में से कुछ काफी धीमी गति से कर रहे हैं, स्क्रिप्ट हैश और पासवर्ड को चलाने के लिए 5-6 सेकंड ले जा रहा है संग्रहीत करता है, और मैंने यह संकुचित हैशिंग (यदि मैं हैशिंग बाहर टिप्पणी यह ​​1-2 सेकंड में चलता है,)।

यह (अभी) सबसे सुरक्षित होने की नहीं है, मैं एक बैंक के लिए codding नहीं कर रहा हूँ, लेकिन मैं निश्चित रूप से नहीं होगा सादे-पाठ के रूप में पासवर्ड की दुकान।

05/08/2008 को 00:07
का स्रोत उपयोगकर्ता

वोट
0

password_hash ( string $password , int $algo [, array $options ] )। (PHP 5> = 5.5.0, पीएचपी 7)

password_hash () एक मजबूत एक तरह से हैशिंग कलन विधि का उपयोग एक नया पासवर्ड हैश पैदा करता है। password_hash () तहखाने के साथ संगत है ()। () इसलिए, तहखाने द्वारा बनाई पासवर्ड हैश () password_hash के साथ प्रयोग किया जा सकता है।

18/05/2018 को 18:27
का स्रोत उपयोगकर्ता

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more