PHP fórum

FK · před 3 lety

Napadlo mě, že bych při přihlašování u klienta použil hashovací funkci (SHA-1 přes javascript). Na server by tak dorazil jen SHA-1 otisk. Pokud by tedy klienta někdo odposlouchával, dostal by se pouze k SHA-1 otisku hesla – hodně lidí používá na více účtů stejné heslo, takže útočník by měl smůlu.

Pro ještě větší bezpečnost bych u klienta provedl dvojnásobné hashování – sha1(sha1(pwd))
A do databáze by se ukládalo trojnásobně zahashované – sha1($pwdhash)
(Kdyby se někdo dostal do databáze přes nějakou bezpečnostní díru, aby se nemohl identifikovat pomocí otisku z databáze.)

Co si o této myšlence myslíte?

phx · před 3 lety

Kuli bezpecnosti by to chtelo dynamicky generovany salt, prtz kdyz si odposlechnu hash tak uz jsem schopen se prihlasit, prtz hash je pokazde stejny. Takze by k tomu chtelo generovat na strane serveru nejaky salt.

pmg · před 3 lety

Pozor, jakou implementaci SHA použiješ, aby podporovala UTF.

FK · před 3 lety

phx napsal(a):

Kuli bezpecnosti by to chtelo dynamicky generovany salt, prtz kdyz si odposlechnu hash tak uz jsem schopen se prihlasit, prtz hash je pokazde stejny. Takze by k tomu chtelo generovat na strane serveru nejaky salt.

To je dobrý nápad. Díky.

pmg napsal(a):

Pozor, jakou implementaci SHA použiješ, aby podporovala UTF.

Použiji tuhle funkci:
http://www.webtoolkit.info/…pt-sha1.html

_Martin_ · před 3 lety

Mrkni na článek od Jakuba Vrány, který se věnuje Bezpečnému přihlašování uživatelů, především se mrkni na ono doplnění a originální koncept.

PHP fórum

#1 před 3 lety

Bezpečnější přihlašování díky hashování u klienta

#2 před 3 lety

Re: Bezpečnější přihlašování díky hashování u klienta

#3 před 3 lety

Re: Bezpečnější přihlašování díky hashování u klienta

#4 před 3 lety

Re: Bezpečnější přihlašování díky hashování u klienta

#5 před 3 lety

Re: Bezpečnější přihlašování díky hashování u klienta

Zápatí