امن ترین رمزگذاری برای ذخیره سازی password در دیتابیس

[iroo]

سلام و خسته نباشید

معمولا برای ذخیره سازی یکسری اطلاعات مهم توی دیتابیس ما از md5 - hash - crc32 و... استفاده می کنیم که بصورت ظاهری پسورد مستقیم تو دیتابیس ذخیره نمیشه....

اما امنیت این نوع کد گذاری هم بالا نیست و راحت کد رو بدین دست یکی حتی با سرچ ساده میاد دیکد میکنه و رمز رو می بینه


به نظرتون برای ذخیره سازی یک مقدار بسیار امنیتی چطوری کد کنیم و با خیال راحت تو دیتابیس ذخیره کنیم؟


ممنون میشم راهنمائیم بکنید

تشکر

[MJmoonwalk]

پسورد قوی وظیفه خود کاربر است. شما برای نگهداری همون md5 با کمی نمک (جستجو کن password salt) میتونی ذخیره کنی.

[iroo]

پسورد قوی وظیفه خود کاربر است. شما برای نگهداری همون md5 با کمی نمک (جستجو کن password salt) میتونی ذخیره کنی.

درسته
فرض کنید کاربر این رمز رو داد: " F36*Y%5eg653G "
حالا این md5 یا هش میشه و تو دیتابیس ذخیره میشه، همین مقداری که تو دیتابیس ذخیره شده رو بدین به کسی به راحتی میتونه پسورد اصلی رو در بیاره! درسته؟؟؟ پس درواقع اون طور که میتونست از رمز محافطت کنه نتونسته این کد گذاری خوب عمل کنه
من توی انجمن فک کنم مجید آنلاین بود یک مطلب در این مورد دیده بودم که رمز گذاری بسیار امنی رو معرفی کرده بود و....

[shahinmq]

عرض سلام و احترام
می تونید الگوی خودتون رو درست کنید که اگر رمزتون هم لو رفت حتی با دیکد کردن به رشته ی اصلی دسترسی نداشته باشند.
ساده ترین راه می تونید رشته ی پسورد را بگیرید و تک تک کاراکتر ها را جدا کنید.
حال کد اسکی هر کاراکتر را بدست بیارید و با عددی دیگر یا حروفی دیگر ترکیب کنید.
در نهایت کل کاراکتر هارا کنار یکدیگر بزارید و دوباره هَش کنید.

Sent from my SM-G920F using Tapatalk

[mojtabakh18]

دوست عزیز سلام

به اصطلاح یک مقدار نمک‌به پسورد بزنید

بعد md5 کنین کسی نمیتوپه دیکد کنه

مگه اینکه روز ها شاید هم هفته هاوقت بزاره اونم اگه بشه

شما تست‌ کن‌سایت های دیکد‌md5 انلاین

یه پسورد رو مقداری نمک بزن بعد ببین‌میتونه دیکد کنه یا نه

۹۹ درصد نمیتونه

[shahinmq]

دوست عزیز سلام

به اصطلاح یک مقدار نمک‌به پسورد بزنید

بعد md5 کنین کسی نمیتوپه دیکد کنه

مگه اینکه روز ها شاید هم هفته هاوقت بزاره اونم اگه بشه

شما تست‌ کن‌سایت های دیکد‌md5 انلاین

یه پسورد رو مقداری نمک بزن بعد ببین‌میتونه دیکد کنه یا نه

۹۹ درصد نمیتونه

درواقع این سایت ها دیکد نمی کنن و از دیتابیس پسورد استفاده می کنند.
اگر شخص واقعا به دنبال پسورد باشه هفته ها و شاید سال ها با استفاده از روش هایی این کار را خواهد کرد.
به عنوان مثال با روش brute force می تونید پسورد را دیکد کنید اما پردازنده ی قوی نیاز هست که قطعا کسی که چنین کاری بخواهد انجام بده با سیستم شخصی انجام نمیده و استفاده از این روش قطعی هست اما زمان زیادی صرف خواهد کرد.این روش تمام حالت ها و کاراکترها را کنار هم قرار خواهد داد تا مقدار هش پیدا شود.
البته اگر از الگوی پیچیده تر استفاده کنید زمانی که به پسورد برسند بازهم به چیزی نرسیده اند.

Sent from my SM-G920F using Tapatalk

[AtrafNet]

سلام
اگه برای php می خواین خود php در لینک زیر گفته که برای هش کردن پسورد و سایر اطلاعات مهم به جای الگوریتم های md5 و sha1 و... از Blowfish که پیشنهادی خودش هست استفاده کنید.

http://php.net/manual/en/faq.passwords.php

[mojtabakh18]

درواقع این سایت ها دیکد نمی کنن و از دیتابیس پسورد استفاده می کنند.
اگر شخص واقعا به دنبال پسورد باشه هفته ها و شاید سال ها با استفاده از روش هایی این کار را خواهد کرد.
به عنوان مثال با روش brute force می تونید پسورد را دیکد کنید اما پردازنده ی قوی نیاز هست که قطعا کسی که چنین کاری بخواهد انجام بده با سیستم شخصی انجام نمیده و استفاده از این روش قطعی هست اما زمان زیادی صرف خواهد کرد.این روش تمام حالت ها و کاراکترها را کنار هم قرار خواهد داد تا مقدار هش پیدا شود.
البته اگر از الگوی پیچیده تر استفاده کنید زمانی که به پسورد برسند بازهم به چیزی نرسیده اند.

Sent from my SM-G920F using Tapatalk

قطعا کسی همچین سیستمی داره

نمیاد پسورد ماها رو دیکد کنه خخخ

[shahinmq]

قطعا کسی همچین سیستمی داره

نمیاد پسورد ماها رو دیکد کنه خخخ

خیلی پیچیده نیست ، قبلا نوشتیم و افرادی دیگر هم نوشتند.

از مقدار 0 شروع به تست کردن میکنه و کد کردن می کند تا انواع ترکیب ها را بررسی کنه و درنهایت مقدار کد شده را با کد شما را مقایسه می کند.

زمانی که دو مقدار کد شده برابر هم باشند یعنی کد پیدا شده.

فقط با سیستم شخصی برای پسورد های طولانی اصلا قابل استفاده نیست و درصورتی که زمان استفاده طولانی شود کار بجایی خواهد رسید که ماوس شما هم تکون نمی خوره و فشار زیادی روی cpu خواهد بود(طبق تجربه)

[kiava]

شما میتونید به اخر هر رمز یه عدد خاصی اضافه کنید مثلا اگر کاربر این رمز رو زد

1234kiava
به اخرش طبق تعریف شده 5678 اضافه بشه

1234kiava5678

بعدش هش میکنید sha1 بهتره تا md5 و بعدش تعیین میکنید هر کاربری رمز رو زد به اخرش اون الگوریتم رو اضافه کنه وبرسی کنه اگر توی دیتابیس بود وارد بشه