| |
|
|
| | Пароли при регистрации шифрую md5 - соответственно в БД они пишутся типа 'jdsh4jj4j5j54j5h43jgfh545jyk5y54y'
Если пользователь пароль забыл - как его восстановить из зашифрованного вида? | |
| |
|
|
| |
|
|
| |
для: Arfey
(22.03.2009 в 00:42)
| | | Никак. md5() это алгоритм хеширования данных. При таком механизме Вы создаете 128-битный "отпечаток".
Востановить пароль НИКАК. Вы можете только сгенерировать новый. | |
| |
|
|
| |
|
|
| |
для: ols
(22.03.2009 в 00:46)
| | | Так ведь во многих сервисах когда восстанавливаешь пароль - тебе на мыло шлют твой реальный старый пароль?
Как насчет такого варианта:
При регистрации пароль в хеш виде заносится в в таблицу с пользователями.
А в незашифрованном виде пишется в отдельную таблицу, которая используется ТОЛЬКО для восстановления?? | |
| |
|
|
| |
|
|
| |
для: Arfey
(22.03.2009 в 00:50)
| | | >Так ведь во многих сервисах когда восстанавливаешь пароль - тебе на мыло шлют твой реальный старый пароль?
Так во многих сервисах используют другие механизмы защиты данных, тоесть не везде используют md5().
>Как насчет такого варианта:
>При регистрации пароль в хеш виде заносится в в таблицу с пользователями.
>А в незашифрованном виде пишется в отдельную таблицу, которая используется ТОЛЬКО для восстановления??
Возможно так и делают | |
| |
|
|
| |
|
|
| |
для: ols
(22.03.2009 в 00:57)
| | | не делают так.
md5 применяют не для того, чтобы хранить хеш.
md5 применяют для того, чтобы не хранить пароль. Не хранить, не помнить, не знать. | |
| |
|
|
| |
|
|
| |
для: Trianon
(22.03.2009 в 01:20)
| | | В целом да, согласен, Вы правы, поэтому написал возможно | |
| |
|
|
| |
|
|
| |
для: Arfey
(22.03.2009 в 00:50)
| | | >При регистрации пароль в хеш виде заносится в в таблицу с пользователями.
А в незашифрованном виде пишется в отдельную таблицу, которая используется ТОЛЬКО для восстановления??
Не пойму логику - зачем вообще тогда хранить "в хеш виде" ? | |
| |
|
|
| |
|
|
| |
для: ddhvvn
(22.03.2009 в 13:19)
| | | В том случае если злоумышленник получит доступ к базе данных и украдет хэшированные пароли, то он ими не сможет воспользоваться. Чего тут непонятного? | |
| |
|
|
| |
|
|
| |
для: Zend72
(22.03.2009 в 13:24)
| | | если он получит доступ к БД, то он сможет вытащить и незашифрованые пароли, логики ноль... | |
| |
|
|
| |
|
|
| |
для: nikita2206
(22.03.2009 в 13:40)
| | | А вот это уже другая история. Где здесь написано, что незашифрованные пароли храняться в этой же самой базе данных? ;-) Неет. Они храняться на сервере в глубинах локальной сети (возможно, что в зашифрованном виде, только поддаются расшифровке) за семью фаирволами %-)) | |
| |
|
|
| |
|
|
| |
для: Zend72
(22.03.2009 в 13:42)
| | | Интересно... ну а почему ж сразу не хранить "на сервере в глубинах локальной сети (возможно, что в зашифрованном виде, только поддаются расшифровке) за семью фаирволами" и только их и использовать? | |
| |
|
|
| |
|
|
| |
для: ddhvvn
(22.03.2009 в 13:49)
| | | Вы меня поставили в тупик сейчас ;-))
О! Пришел Trianon и вывел меня из тупика. | |
| |
|
|
| |
|
|
| |
для: Zend72
(22.03.2009 в 13:42)
| | | История та же самая.
Если я вижу на портале инструмент, который может мне показать мой пароль, я априори считаю такой портал слабым.
Это мой пароль, а не его (портала). Он не должен его знать. Уметь проверить - должен. А знать - нет.
Это не умаляет того факта, что хеширующие функциии тоже нужно применять с умом, от простого вызова md5 сейчас мало толку... | |
| |
|
|
| |
|
|
| |
для: Trianon
(22.03.2009 в 14:06)
| | | ага надо солить алгоритмом :) | |
| |
|
|
| |
|
|
| |
для: devzorg
(22.03.2009 в 14:19)
| | | ;-) | |
| |
|
|
