Формат хеша пароля

zenn · 2012-01-30 03:30:58

Доброй ночи всем пользователям и создателям ngcms.
Имеется вопрос, каким образом хешируется пароль в таблице pref_users ?
Переношу на ngcms рабочий проект с иной цмс, хотелось бы сделать это без потерь для себя. В используемой ранее цмс был алгоритм $pwd = md5($password). У вас он работает несколько иначе, пока роюсь по исходным кодам.
Ну и как вариант, можно ли без лишних заглушек адаптировать старую базу(не охото писать доп. метод на авторизацию по иному алгоритму).

zenn · 2012-01-30 04:29:04

Все, нашел. Двойной md5 (кстати, очь глупая идея, слабо устойчева к брутфорсу, есть радужные таблы ..)
Рекомендую: md5(base64_encode(pack("H*", пароль)));

Wolverine · 2012-01-30 08:28:41

zenn, почему не sha1(md5(base64_encode(pack("H*", пароль)))); ? И чем оно более стойко чем md5(md5(pass)+word) ?

t3s · 2012-01-30 13:19:56

Wolverine, если честно меня удивляет подобный подход команды движка...

когда совершенно разные люди говорят что невалидный код - это плохо, ответ получается вида "пофик, и так работает"
когда совершенно разные люди говорят что пароль без "соли" - это плохо, ответ (возможно?!?) будет такой же самый?

конкретно в данном случае холивары sha1 vs md5 неуместны (алгоритм хеширования гораздо менее важен, чем факт несоленого пароля)
когда-то предлагал использовать в качестве соли емайл юзера

Wolverine · 2012-01-30 13:34:00

t3s, прочитай еще раз, пожалуйста, мое сообщение.

infinity237 · 2012-01-30 17:08:33

Какой смысл вообще использовать salt, если кто-то получит доступ к БД, то он и salt также достанет.

Wolverine · 2012-01-30 17:52:20

Если ее брать только как мыло, то использовать смысла конечно нет, соль это секрет, например UID, который генерируется при инсталляции. Главное не потерять потом этот ключ Ну или для разности хэшей для одинаковых паролей мыло + UID

infinity237 · 2012-01-30 18:19:46

Сертификаты никакого отношения к соленым md5 не имеют.

Wolverine · 2012-01-30 18:22:17

Какие сертификаты-то? Откуда они появились?

infinity237 · 2012-01-30 18:28:39

Ну а где ты хочешь хранить этот UID?

Wolverine · 2012-01-30 18:33:07

Он уже хранится в /engine/conf/config.php

infinity237 · 2012-01-30 18:35:01

Ну как вариант. Хотя идея с сертификатами мне больше нравится.

Wolverine · 2012-01-30 18:43:23

Что за сертификаты? Как в webmoney light?)))

infinity237 · 2012-01-30 18:58:13

Ну не войдешь в админку пока не прикрепишь файл-сертификат.

Next Generation CMS :: Форум поддержки

Объявление

#1 2012-01-30 03:30:58

Формат хеша пароля

#2 2012-01-30 04:29:04

Re: Формат хеша пароля

#3 2012-01-30 08:28:41

Re: Формат хеша пароля

#4 2012-01-30 13:19:56

Re: Формат хеша пароля

#5 2012-01-30 13:34:00

Re: Формат хеша пароля

#6 2012-01-30 17:08:33

Re: Формат хеша пароля

#7 2012-01-30 17:52:20

Re: Формат хеша пароля

#8 2012-01-30 18:19:46

Re: Формат хеша пароля

#9 2012-01-30 18:22:17

Re: Формат хеша пароля

#10 2012-01-30 18:28:39

Re: Формат хеша пароля

#11 2012-01-30 18:33:07

Re: Формат хеша пароля

#12 2012-01-30 18:35:01

Re: Формат хеша пароля

#13 2012-01-30 18:43:23

Re: Формат хеша пароля

#14 2012-01-30 18:58:13

Re: Формат хеша пароля

Подвал раздела