Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  5 672
hei og hopp, skal lagre passord i en sql-database i sammenheng med et mindre portalprosjekt som har vokst seg større enn "lekerommet" hjemme. Har fundert litt opp og ned og kommet fram til følgende

$hash = hash("ripemd160",hash("sha512",$unique_salt . hash("sha256",($pass . $global_salt))));

Brukertabellen ser noe slik ut:

Kode

username	pass						unique_salt
Admin		5e3b6aa014c7ad88bfea05e0b31aa10aa83ff20d	3dCji*}75/X%Y2V
I tillegg til dette kommer altså global_salt som er lagret i konfigurasjonsfilen. Tanken bak dette er at dersom man skulle få tilgang til database så skal man likevel mangle vital info.

Grunnen til at jeg lagrer i ripemd160 er kort og godt bare for å korte ned lengden på passordfeltet fra 128 tegn (SHA512) til 40 tegn.

Er dette helt på jordet? Dårlig oppbygd? Håpløst tungvint for server å håndtere i større antall?

Alle kommentarer, tanker og ideer mottas med takk.
Hei.

Her står mye om sikkerhet, også om bruk av salt, md5 vs sha osv.: http://norskwebforum.no/viewtopic.php?f=50&t=34181
Trådstarter
Takk for link. Er dessverre begynt å dra på årene de linkene men fremdeles en del nyttig info.
Hei. Tenker at denne er høyst aktuell enda: http://norskwebforum.no/viewtopic.php?t=37352 - og relatert til det din problemstilling.
Det viktigste er at du bruker en form for salt slik at man ikke kan bruke rainbow tables. Hvis du i tillegg klarer å holde (det ene) saltet hemmelig blir det vanskelig å cracke.

Det har forøvrig kommet noen sinnsykt effektive hash-programmer for GPU'er, men jeg vet ikke om det finnes for SHA512.

http://www.golubev.com/hashgpu.htm

http://www.golubev.com/files/ighashgpu/ighashgpu_q6600_5970.png
Trådstarter
Sitat av phish Vis innlegg
Det viktigste er at du bruker en form for salt slik at man ikke kan bruke rainbow tables. Hvis du i tillegg klarer å holde (det ene) saltet hemmelig blir det vanskelig å cracke.

Det har forøvrig kommet noen sinnsykt effektive hash-programmer for GPU'er, men jeg vet ikke om det finnes for SHA512.

http://www.golubev.com/hashgpu.htm
Vis hele sitatet...
Ja det er nesten skremmende hvor effektive noen av disse er. IGHASHGPU ser ut til å være et par år gammelt nå så best bet for raskeste "MD5-cracker" i dag er vel BarsWF.

Sitat av nukleuz Vis innlegg
Hei. Tenker at denne er høyst aktuell enda: http://norskwebforum.no/viewtopic.php?t=37352 - og relatert til det din problemstilling.
Vis hele sitatet...
Jepp, dersom noen andre har ca samme problemstilling må jeg bare på det sterkeste fraråde å benytte SHA1 som de foreslår der, det er utrangert info.