Sitat av
HighAtBirth
Så, du har tatt en enveis-hash og gjort den om til toveis-hash.
Hva med å gjøre det enkelt;
- Krypter passordet med SHA1 i databasen.
- Bruk en unik ID for å resette passord på brukeren.
- Lag et skript som genererer en ny unik ID for hver gang "glemt passord" blir aktivert. Send ut mail med link til en nettside hvor ID-en blir hentet frem og bearbeidet i databasen, hvor brukeren til slutt får velge sitt eget passord.
SHA-1 er blitt for flere år siden betegnet som «sårbar», gå for SHA-2 (256,384,512) eller Keccak som er nyeste medlem i SHA-familien. Men det skal sies at SHA-(1/2/3) ikke er designet for å hashe passord, men heller en sjekksum av data, derfor krever SHA-familien lite datakraft for å generere hashene, noe som ikke er ønskelig når man hasher passord.
Derfor er det nødvendig å kombinere SHA algoritmer med PBKDF2 eller andre passord nøkkel generering funksjoner som basererer seg på iterasjoner av hashing. Jo flere iterasjoner, jo lengere tid tar det å knekke den.
Sist endret av 0xFF; 21. april 2016 kl. 19:49.