где безопаснее хранить пароли?

@pixel · Регистрация: 19.05.2009

Author24 — интернет-сервис помощи студентам

Приветствую.
На данном этапе храню пароли в файле config.php. Задумался над базой mysql. Соответственно и вопрос, если я буду хранить пароли в БД это безопаснее чем в файле?

@igorianru · 30.08.2012, 19:22

Сообщение от pixel

Приветствую.
На данном этапе храню пароли в файле config.php. Задумался над базой mysql. Соответственно и вопрос, если я буду хранить пароли в БД это безопаснее чем в файле?

Да в базe безопаснее, в md5/

@pixel · 30.08.2012, 19:29 **[ТС]**

я не так выразился. md5 совершенно в данном случае не подходит. хранить пароли нужно в открытом виде (как сейчас в файле).

@c4boomb · 30.08.2012, 20:48

однозначно безопаснее, но только если вы не умеете пользоваться htaccess

@pixel · 30.08.2012, 21:05 **[ТС]**

т.е. при умении пользования htaccess хранение открытых паролей в файле будет безопаснее чем в БД? Если так, неужели изучить htaccess такая неподъемная задача?

@c4boomb · 30.08.2012, 21:12

Этими 3 строками я полностью запретил доступ пользователей к файлу config.php

Код

<Files "config.php">
order allow,deny
deny from all
</Files>

@basili4 · 30.08.2012, 21:12

Не важно где. Хранить пароль в открытом виде равно опасно. 3 раза подумайте о необходимости. Если все же решите хранить их открыто то не важно где.

@Жека-старший · 30.08.2012, 21:13

Не по теме:

В наше время хранить пароли в открытом виде довольно опасно 8-)

@spyeye · 31.08.2012, 03:02

Никогда не стоит хранить пароли в файле, тем более не зашифрованном(!), т.к. в случае чего, если ваш ФТП сбрутят, залью веб-шелл ( что довольно не редко ) - сразу увидят ваш файлик, сольют все пароли.
Лучше всего хранить хэши паролей в базе, при этом хэшировать циклично, с солью, с использованием нескольких алгоритмов - это даст вам беспрецедентный уровень безопасности данных ваших пользователей.

@c4boomb · 31.08.2012, 09:29

Если сбрутят фтп или шелл темболее, то файл подключения к базе данных тоже очень легко скачать )))) И точно так подключатся к базе данных ...
Насчёт шифрования согласен...

@pixel · 31.08.2012, 11:45 **[ТС]**

Сообщение от spyeye

Никогда не стоит хранить пароли в файле, тем более не зашифрованном(!), т.к. в случае чего, если ваш ФТП сбрутят, залью веб-шелл ( что довольно не редко ) - сразу увидят ваш файлик, сольют все пароли.
Лучше всего хранить хэши паролей в базе, при этом хэшировать циклично, с солью, с использованием нескольких алгоритмов - это даст вам беспрецедентный уровень безопасности данных ваших пользователей.

пароли нужны для доступа к другим ресурсам (другим сайтам), соответственно мне они нужны в открытом виде. на счет шифрования не подумал, но если есть пример реализации, было бы не лишним, хотя опять же не ясно, где хранить ключи для дешифрации. И опять все по кругу.

@basili4 · 31.08.2012, 11:55

Сообщение от c4boomb

Если сбрутят фтп или шелл темболее, то файл подключения к базе данных тоже очень легко скачать )))) И точно так подключатся к базе данных ...

согласен от сюдаи вывод что если открытым текстом то абсолютно не важно где хранить пароли.
И да если кто то зальет шел. Ему уже не нужны будут ваши пароли.

@pixel · 31.08.2012, 12:07 **[ТС]**

ну та и какой же выход?

@basili4 · 31.08.2012, 12:30

Хранить их зашифрованными паролем пользователя. алгоритм можно выбрать любой такие алгоритмы называются семитричные http://www.cyberciti.biz/faq/h... rd-in-php/ вот пример реализации насколько он хорош не знаю вроде как DES.

Вообщем смысл такой шифруем симметричным алгоритмом пароли ключом будет пароль пользователя вошедшего в систему.

@Diavolingel · 31.08.2012, 12:32

Не по теме:

а что тогда делать когда пользователь хочет(нужно) сменить пароль???

@pixel · 31.08.2012, 12:36 **[ТС]**

вот я думаю, а не лучше ли тогда все эти пароли храниить на клиентской машине? тогда и ответственность на клиенте будет.

@basili4 · 31.08.2012, 12:43

Diavolingel,

в этом и интрига

Добавлено через 24 секунды

Сообщение от pixel

вот я думаю, а не лучше ли тогда все эти пароли храниить на клиентской машине? тогда и ответственность на клиенте будет.

и вводить каждый раз ?

@pixel · 31.08.2012, 12:58 **[ТС]**

а я не говорил разве, сорри. у меня прога на дельфи, она соединяется с сайтом, передает логин/пароль и берет из базы другие данные. соответственно потом сайт работает уже с другими сайтами (посредством открытых паролей). вот я и думаю, что если эти открытые пароли будут лежать в шифрованном виде на компе клиента а при работе дешифроваться и передаваться на сайт для дальнейшего использования.

@c4boomb 198 / 166 / 23 Регистрация: 20.04.2011 Сообщений: 750 Записей в блоге: 1
	31.08.2012, 09:29	10
	Если сбрутят фтп или шелл темболее, то файл подключения к базе данных тоже очень легко скачать )))) И точно так подключатся к базе данных ... Насчёт шифрования согласен... 0

@basili4 201 / 199 / 4 Регистрация: 13.06.2012 Сообщений: 1,009 Записей в блоге: 3
	31.08.2012, 12:30	14
	Хранить их зашифрованными паролем пользователя. алгоритм можно выбрать любой такие алгоритмы называются семитричные http://www.cyberciti.biz/faq/h... rd-in-php/ вот пример реализации насколько он хорош не знаю вроде как DES. Вообщем смысл такой шифруем симметричным алгоритмом пароли ключом будет пароль пользователя вошедшего в систему. 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,269
	31.08.2012, 12:36 [ТС]	16
	вот я думаю, а не лучше ли тогда все эти пароли храниить на клиентской машине? тогда и ответственность на клиенте будет. 0

@basili4 201 / 199 / 4 Регистрация: 13.06.2012 Сообщений: 1,009 Записей в блоге: 3
	31.08.2012, 12:43	17
	Diavolingel, в этом и интрига Добавлено через 24 секунды Сообщение от pixel вот я думаю, а не лучше ли тогда все эти пароли храниить на клиентской машине? тогда и ответственность на клиенте будет. и вводить каждый раз ? 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,269
	31.08.2012, 12:58 [ТС]	18
	а я не говорил разве, сорри. у меня прога на дельфи, она соединяется с сайтом, передает логин/пароль и берет из базы другие данные. соответственно потом сайт работает уже с другими сайтами (посредством открытых паролей). вот я и думаю, что если эти открытые пароли будут лежать в шифрованном виде на компе клиента а при работе дешифроваться и передаваться на сайт для дальнейшего использования. 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,269
		1
	где безопаснее хранить пароли? 30.08.2012, 19:18. Показов 5066. Ответов 17 Метки нет (Все метки) Приветствую. На данном этапе храню пароли в файле config.php. Задумался над базой mysql. Соответственно и вопрос, если я буду хранить пароли в БД это безопаснее чем в файле? 0

@igorianru 0 / 0 / 2 Регистрация: 21.10.2011 Сообщений: 33
	30.08.2012, 19:22	2
	Сообщение от pixel Приветствую. На данном этапе храню пароли в файле config.php. Задумался над базой mysql. Соответственно и вопрос, если я буду хранить пароли в БД это безопаснее чем в файле? Да в базe безопаснее, в md5/ 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,269
	30.08.2012, 19:29 [ТС]	3
	я не так выразился. md5 совершенно в данном случае не подходит. хранить пароли нужно в открытом виде (как сейчас в файле). 0

@c4boomb 198 / 166 / 23 Регистрация: 20.04.2011 Сообщений: 750 Записей в блоге: 1
	30.08.2012, 20:48	4
	однозначно безопаснее, но только если вы не умеете пользоваться htaccess 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,269
	30.08.2012, 21:05 [ТС]	5
	т.е. при умении пользования htaccess хранение открытых паролей в файле будет безопаснее чем в БД? Если так, неужели изучить htaccess такая неподъемная задача? 0

@c4boomb 198 / 166 / 23 Регистрация: 20.04.2011 Сообщений: 750 Записей в блоге: 1
	30.08.2012, 21:12	6
	Этими 3 строками я полностью запретил доступ пользователей к файлу config.php Код <Files "config.php"> order allow,deny deny from all </Files> 0

@Жека-старший
	30.08.2012, 21:13 #8
	Не по теме: В наше время хранить пароли в открытом виде довольно опасно 8-) 0

@spyeye 31 / 31 / 2 Регистрация: 06.08.2012 Сообщений: 155
	31.08.2012, 03:02	9
	Никогда не стоит хранить пароли в файле, тем более не зашифрованном(!), т.к. в случае чего, если ваш ФТП сбрутят, залью веб-шелл ( что довольно не редко ) - сразу увидят ваш файлик, сольют все пароли. Лучше всего хранить хэши паролей в базе, при этом хэшировать циклично, с солью, с использованием нескольких алгоритмов - это даст вам беспрецедентный уровень безопасности данных ваших пользователей. 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,269
	31.08.2012, 11:45 [ТС]	11
	Сообщение от spyeye Никогда не стоит хранить пароли в файле, тем более не зашифрованном(!), т.к. в случае чего, если ваш ФТП сбрутят, залью веб-шелл ( что довольно не редко ) - сразу увидят ваш файлик, сольют все пароли. Лучше всего хранить хэши паролей в базе, при этом хэшировать циклично, с солью, с использованием нескольких алгоритмов - это даст вам беспрецедентный уровень безопасности данных ваших пользователей. пароли нужны для доступа к другим ресурсам (другим сайтам), соответственно мне они нужны в открытом виде. на счет шифрования не подумал, но если есть пример реализации, было бы не лишним, хотя опять же не ясно, где хранить ключи для дешифрации. И опять все по кругу. 0

@basili4 201 / 199 / 4 Регистрация: 13.06.2012 Сообщений: 1,009 Записей в блоге: 3
	31.08.2012, 11:55	12
	Сообщение от c4boomb Если сбрутят фтп или шелл темболее, то файл подключения к базе данных тоже очень легко скачать )))) И точно так подключатся к базе данных ... согласен от сюдаи вывод что если открытым текстом то абсолютно не важно где хранить пароли. И да если кто то зальет шел. Ему уже не нужны будут ваши пароли. 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,269
	31.08.2012, 12:07 [ТС]	13
	ну та и какой же выход? 0

@Diavolingel
	31.08.2012, 12:32 #15
	Не по теме: а что тогда делать когда пользователь хочет(нужно) сменить пароль??? 0