kryptering av av användares lösenord

Rinkle · 2009-07-06, 12:59

hey,
jag sökte men bedömde att den senaste tråden inom detta inte var generell nog...

Nu till frågan:
Vad anser ni man bör ha för säkerhet på en webbplats alla användar-lösenord?

Säg att det gäller en större sida, så som ett comunity/bloggportal,
när känner ni "nu är det säkert nog"?

MD5+random SALT?

Känner mig väldigt rostig nu när man låter persistenslager för det mesta i databas-väg...

Spindel · 2009-07-06, 13:08

SHA1+salt

Rinkle · 2009-07-06, 13:10

sha1, där ser man, tack!!!

coredev · 2009-07-06, 13:31

Vi har en något mer komplicerad procedur, men i stort räcker md5(lösenord + salt) gott till.

Vill gärna betona att detta är att hasha, och inte att kryptera då det inte finns något sätt att få tillbaka ursprungsinformationen.

Rinkle · 2009-07-06, 14:00

sha1, där ser man, tack!!!

Citat:

Originally posted by coredev@Jul 6 2009, 12:31
Vi har en något mer komplicerad procedur, men i stort räcker md5(lösenord + salt) gott till.
Vill gärna betona att detta är att hasha, och inte att kryptera då det inte finns något sätt att få tillbaka ursprungsinformationen.

beskriv gärna den procedur ni använder (om ni nu kan/får göra de)

självklart menade jag hasha, mitt fel där

SimonP · 2009-07-06, 14:10

Finns flera långa trådar om detta, t.ex:

http://www.webmasternetwork.se/index.php?s...f=4&t=30777&hl=

http://www.webmasternetwork.se/index.php?a...=27900&hl=&s=wn

Rinkle · 2009-07-06, 14:46

simonp, jag ska skapa en religion i din ära

SimonP · 2009-07-06, 15:58

Citat:

Originally posted by Rinkle@Jul 6 2009, 12:46
simonp, jag ska skapa en religion i din ära

Attans, jag som är ateist :unsure:

Jag misstänkte att de två trådarna täckte det mesta i ämnet...

eliasson · 2009-07-06, 17:00

md5(salt + lösenord) skapar inga unika hashar. Inkludera även ett unikt värde från användaren, t ex användarnamnet.

Unik hash för varje användare blir då: md5(salt + lösenord + användarnamn)

KristianE · 2009-07-06, 20:23

SHA1 har visat sig "ganska svag" i nya tester som
gjorts och därför rekommenderas starkare versioner
av SHA som t.ex. SHA512 för mer kritiska tillämpningar.

Hashningen av din användardatabas kommer bli
statisk och det är inget du kommer ändra på i den
närmaste tiden. Jag skulle rekommendera dig att
i alla fall utforska möjligheten med starkare SHA
istället för SHA1. Om fördelarna överväger nack-
delarna är det bara att köra.

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

kryptering av av användares lösenord