Форум программистов, компьютерный форум, киберфорум
Java
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.62/13: Рейтинг темы: голосов - 13, средняя оценка - 4.62
-6 / 22 / 7
Регистрация: 16.12.2016
Сообщений: 716
1

Как правильно хэшировать пароли?

21.08.2020, 20:41. Просмотров 2569. Ответов 9

подскажите примеры из реально жизни, как правильно хэшировать с солью?
и как потом такое проверять?
как я понял соль должна быть разной каждый раз чтобы одинаковые пароли разных юзеров давали разный хэш
при том при всем алгоритмы MD5 и SHA1 считаются стремными, тогда что юзать?
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
21.08.2020, 20:41
Ответы с готовыми решениями:

Хочу хэшировать пароли
Хочу хэшировать пароли. Мне нужно использовать Bcrypt, но я не понимаю как подключить библиотеку к...

Хэшировать пароль на клиентской стороне
Подскажите пожалуйста, как в asp.net можно захэшировать пароль на клиентской стороне и передать на...

помогите - хочу хэшировать добавляемые данные
Имеется БД пользователей, Login, Group, !!!PASSWORD!!! и т.д. само собой пароль не должен хранится...

Как сравнить пароли?
Добрый день, сравниваю пароль и выдает ошибку "не возможно найти символ или переменная не...

9
3252 / 2315 / 421
Регистрация: 28.04.2012
Сообщений: 7,717
22.08.2020, 11:46 2
Цитата Сообщение от SadiQ228 Посмотреть сообщение
что юзать?
bcrypt или argon2, например. Или гугл.
0
1823 / 1438 / 359
Регистрация: 17.02.2014
Сообщений: 7,353
24.08.2020, 11:21 3
SadiQ228, как обычно, хотя бы почитать, чтонить из истории вопроса)). например это https://habr.com/ru/post/210760/ - и не забыть причесать комменты. после, хотя бы 3-х курсов вышки, люди уже умеют работать с литературой, даже не ботаны...
0
-6 / 22 / 7
Регистрация: 16.12.2016
Сообщений: 716
24.08.2020, 14:55  [ТС] 4
даров)
та я читать обучен после трех курсов. А вот мысли излагать бывают проблемы.
Я имел ввиду какие ни будь промышленные стандарты которых все придерживаются.
Например создавая криптографические системы для тестирования простых чисел используют буквально пару методов, а в вузе мы изучали не меньше 7.
Так посмотрев статьи увидел не менее пяти разных способов хэширования и столько же алгоритмов.
ну для себя выбрал самый простой bcrypt вроде работает все.
0
1823 / 1438 / 359
Регистрация: 17.02.2014
Сообщений: 7,353
24.08.2020, 15:04 5
Цитата Сообщение от SadiQ228 Посмотреть сообщение
для себя
это супер, если для себя, а так в конторах могут быть разные предпочтения))
0
2 / 1 / 1
Регистрация: 24.10.2020
Сообщений: 9
14.11.2020, 17:58 6
насчет того, что SHA1 стремный - вот обсуждение на хабре https://r2.uz/x
На самом деле это тема очень интересная. На мой взгляд, тут какой-то заговор с участием разных сторон, чтобы можно было потом легче извлекать пароли из хешей.

Я не понимаю, зачем вообще нужно в БД хранить хеш пароля - В ЦЕЛОСТИ.

Наличие полного целого хеша пароля облегчает хакеру, который получил список ЛОГИН-ХЕШ из базы, перебор по словарю или брутфорс.

Я, например, в своей базе храню в поле ХЕШ ПАРОЛЯ не сам хеш, а его производную:
А=исходный пароль
B=SHA1(A+логин)
C=SHA1(A+B+СОЛЬ);
B = C XOR B - это хеш для БД

пользователь, который послал логин+пароль, по такому хешу, на мой взгляд, будет определяться однозначно. Попытка брутфорсить такой хеш - ну вот что она даст? Какую-то строку, если вообще ее удастся найти, которая ни разу не пароль.

Ну конечно, такой вариант годится, если у вас есть возможность менять функцию хеширования в своем проекте.

Пусть меня поправят тут, если у кого есть возражения или покритикуют криптографы .
0
Эксперт Java
2359 / 2189 / 558
Регистрация: 28.12.2010
Сообщений: 8,566
16.11.2020, 10:16 7
Цитата Сообщение от Mihas13 Посмотреть сообщение
Пусть меня поправят тут, если у кого есть возражения
какие тут возражения. Ты изобрел велосипед. Молодец.
0
2 / 1 / 1
Регистрация: 24.10.2020
Сообщений: 9
16.11.2020, 19:30 8
Это ирония да? Или, и того хуже, вообще сарказм? Типа все так давно делают, а я дурачок, только щас догадался?
0
-6 / 22 / 7
Регистрация: 16.12.2016
Сообщений: 716
17.11.2020, 04:55  [ТС] 9
нет типо правильно захэшированный пароль в таком дрочилове не нуждается имхо
0
Эксперт Java
2359 / 2189 / 558
Регистрация: 28.12.2010
Сообщений: 8,566
17.11.2020, 10:31 10
Цитата Сообщение от Mihas13 Посмотреть сообщение
Типа все так давно делают
так никто не делает потому что это не нужно. Перебор по словарю\брутфорс\радужные таблицы не работают в случае с bcrypt например.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
17.11.2020, 10:31

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Как расшифровать пароли?
Есть .mdb в которой существует поле с паролями но в таком виде. как и чем их расшифровать?спасибо ...

Как разделить пароли?
Здравствуйте! Хочу запоролить страницу сайта в веббилдере. Код собственно вот ниже. Как добавить...

Как генерировать пароли
Как написать программу, которая ищет на RND пароли, в этом пароле разрешено быть большие и...

Как Joomla зашифровывает пароли?
Как проверить соответствует ли введённый пароль тому, что хранится в БД? Дайте пожалуйста код. ...

Как хранить пароли в mysql?
Пароли нужны в открытом виде, для работы системы. Поэтому хранить в хэшированном виде не вариант....

Как убрать из windows все пароли
как убрать из windows все пароли. например, при загрузке explorer или когда заходишь на ящик???...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.