Wpis z mikrobloga

Skopiuj link

29.12.2019, 12:53:28

Siemano mirasy. Jaki rodzaj hashu zastosować do przechowywania haseł w bazie? SHA512? Robię serwis do portfolio juniora, więc nie mam doświadczenia komercyjnego w tych sprawach.

#naukaprogramowania #programowanie #java #php

januzi

29.12.2019, 12:55:53

@TMBRK: Hash mało ważny jeśli nie dodasz losowego ciągu do haseł. Patrz: tęczowe tablice.

TMBRK

zakopiak

29.12.2019, 12:56:54

@TMBRK: blowfish

https://www.php.net/manual/en/function.password-hash.php

TMBRK

29.12.2019, 12:57:21

@januzi: mówisz o soli, tak? Tylko później gdzie taką sól przechowywać, bo chyba nie w bazie razem z hasłami

sokytsinolop

29.12.2019, 12:58:44

@TMBRK: https://openwall.info/wiki/john/essays/fast-and-slow-hashes

TMBRK

zakopiak

29.12.2019, 13:01:13

@TMBRK Sól może być trzymana razem z hasem w bazie. Chodzi o to, że skoro sól jest unikalna/losowa, to nawet pomimo jawności soli (w przypadku wycieku bazy), aby zgadnąć brute forcem, to trzeba wygenerować cały słownik od początku dla każdego hasha.

zajety_login

29.12.2019, 13:05:26

@TMBRK: SHA jest funkcją #!$%@?ącą ogólnego przeznaczenia. Do haseł lepiej jest wykorzystać dedykowaną ku temu funkcję #!$%@?ącą, np. BCrypt (który będzie dodawał sól do hasła i pozwoli trzymać to w jednej kolumnie w bazie danych). Tutaj więcej info.

TMBRK

zajety_login

29.12.2019, 13:13:47

@zakopiak: Blowfish sam w sobie jest algorytmem szyfrującym, wobec czego nie nadaje się do przechowywania haseł. Zamiast niego potrzebna jest funkcja #!$%@?ąca, np. BCrypt (który swoją drogą jest oparty o Blowfisha, ale w sposób transparentny dla użytkownika).

TMBRK

Saly

29.12.2019, 13:37:43

@TMBRK: zadaniem soli jest ochrona przed atakiem rainbow tables. W przypadku wycieku twoich hashy brak soli oznacza, że proste i popularne hasła są banalnie proste do zrekonstruowania. Sól sprawia, że mapowanie hash->hasło musiałby powstać dla wszystkich możliwych soli, co oznacza, że taki atak jest niemożliwy

sezzart

29.12.2019, 13:52:19

@Saly: ale sól nie musi byc sekretem prawda?

@TMBRK: BCrypt

@sezzart: przykładowo w bcrypt sól jest doklejana do hasha https://en.wikipedia.org/wiki/Bcrypt

Hipodups

29.12.2019, 15:00:25

@Saly: i jeszcze atakujacy musi wiedziec gdzie ta sol i ile razy w hasle jest wstawiona. nie jest powiedziane ze sol dodajemy na poczatku lub koncu.

lolen

29.12.2019, 15:19:00 via Wykop Mobilny (Android)

@TMBRK: argon

lolen

29.12.2019, 15:56:47

@TMBRK: a jeśli będziesz używać bcrypt to uważaj na długość haseł ( ͡° ͜ʖ ͡°)

@TMBRK: +1 do argon

@TMBRK: bcrypt albo argon

Aktywne Wpisy

Kagernak

Kagernak +372

3 godz. i 49 min temu

Wizyta Dudy i Tuska w Waszyngtonie, ja to olewałem bo uważałem, że to tylko kurtuazyjna wizyta lub po prostu Amerykanie chcą nas pouczyć, tak też widziałem w różnych przewidywaniach co to będzie. Parę minut temu patrzę sobie co tam nudnego powiedzieli.

A tu Biden...

JEB 2 MILIARDY POŻYCZKI! MAMY TEŻ PRAWIE 100 SZTUK HELIKOPTERÓW NA SPRZEDAŻ! CO? MAŁO? A MACIE JESZCZE 1700 RAKIET Z CZEGO KILKASET O TAKIM ZASIĘGU, ŻE OSTRZELAĆ SOBIE