Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

Вы не зашли.

#1 2012-01-30 03:30:58

zenn
Участник
Зарегистрирован: 2009-04-25
Сообщений: 48
Рейтинг :   

Формат хеша пароля

Доброй ночи всем пользователям и создателям ngcms.
Имеется вопрос, каким образом хешируется пароль в таблице pref_users ?
Переношу на ngcms рабочий проект с иной цмс, хотелось бы сделать это без потерь для себя. В используемой ранее цмс был алгоритм $pwd = md5($password). У вас он работает несколько иначе, пока роюсь по исходным кодам.
Ну и как вариант, можно ли без лишних заглушек адаптировать старую базу(не охото писать доп. метод на авторизацию по иному алгоритму).

Не в сети

#2 2012-01-30 04:29:04

zenn
Участник
Зарегистрирован: 2009-04-25
Сообщений: 48
Рейтинг :   

Re: Формат хеша пароля

Все, нашел. Двойной md5 (кстати, очь глупая идея, слабо устойчева к брутфорсу, есть радужные таблы ..)
Рекомендую: md5(base64_encode(pack("H*", пароль))); smile

Не в сети

#3 2012-01-30 08:28:41

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: Формат хеша пароля

zenn, почему не sha1(md5(base64_encode(pack("H*", пароль)))); ? И чем оно более стойко чем md5(md5(pass)+word) ?

Не в сети

#4 2012-01-30 13:19:56

t3s
Участник
Откуда планета The мля...
Зарегистрирован: 2009-04-09
Сообщений: 228
Рейтинг :   13 
Сайт

Re: Формат хеша пароля

Wolverine, если честно меня удивляет подобный подход команды движка...

когда совершенно разные люди говорят что невалидный код - это плохо, ответ получается вида "пофик, и так работает"
когда совершенно разные люди говорят что пароль без "соли" - это плохо, ответ (возможно?!?) будет такой же самый?

конкретно в данном случае холивары sha1 vs md5 неуместны (алгоритм хеширования гораздо менее важен, чем факт несоленого пароля)
когда-то предлагал использовать в качестве соли емайл юзера


Проекты любой сложности. Качественно. Дорого.

Не в сети

#5 2012-01-30 13:34:00

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: Формат хеша пароля

t3s, прочитай еще раз, пожалуйста, мое сообщение.

Не в сети

#6 2012-01-30 17:08:33

infinity237
Модератор
Откуда Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2,674
Рейтинг :   176 
Сайт

Re: Формат хеша пароля

Какой смысл вообще использовать salt, если кто-то получит доступ к БД, то он и salt также достанет.

Не в сети

#7 2012-01-30 17:52:20

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: Формат хеша пароля

Если ее брать только как мыло, то  использовать смысла конечно нет, соль это секрет, например UID, который генерируется при инсталляции. Главное не потерять потом этот ключ smile Ну или для разности хэшей для одинаковых паролей мыло + UID

Не в сети

#8 2012-01-30 18:19:46

infinity237
Модератор
Откуда Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2,674
Рейтинг :   176 
Сайт

Re: Формат хеша пароля

Сертификаты никакого отношения к соленым md5 не имеют.

Не в сети

#9 2012-01-30 18:22:17

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: Формат хеша пароля

Какие сертификаты-то? Откуда они появились?

Не в сети

#10 2012-01-30 18:28:39

infinity237
Модератор
Откуда Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2,674
Рейтинг :   176 
Сайт

Re: Формат хеша пароля

Ну а где ты хочешь хранить этот UID?

Не в сети

#11 2012-01-30 18:33:07

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: Формат хеша пароля

Он уже хранится в /engine/conf/config.php smile

Не в сети

#12 2012-01-30 18:35:01

infinity237
Модератор
Откуда Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2,674
Рейтинг :   176 
Сайт

Re: Формат хеша пароля

Ну как вариант. Хотя идея с сертификатами мне больше нравится.

Не в сети

#13 2012-01-30 18:43:23

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: Формат хеша пароля

Что за сертификаты? Как в webmoney light?)))

Не в сети

#14 2012-01-30 18:58:13

infinity237
Модератор
Откуда Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2,674
Рейтинг :   176 
Сайт

Re: Формат хеша пароля

Ну не войдешь в админку пока не прикрепишь файл-сертификат. big_smile

Не в сети

Подвал раздела

Работает на FluxBB