Kiedy ostatnio "przerzucałem" jedno forum z Phpbb na Coyote'a stanąłem przed problemem co zrobić z hasłami użytkowników: jak (zapewne nie wszystkim) wiadomo hasła użytkowników nie są przechowywane w żadnym szanującym się systemie, nawet w postaci zaszyfrowanej. Coyote przechowuje tylko ich hashe powstające po przepuszczeniu ich przez funkcję crypt() która używa algorytmu skrótu DES, natomiast PHPBB używa hashy tworzonych za pomocą md5. Aby uwolnić użytkowników od kłopotliwego używania opcji przypominania zwiększyłem długość pola przechowującego hash w tabeli coyote_users i w dosłownie 4-5 miejscach zmieniłem funkcję crypt() na md5(). Po skopiowaniu danych z table użytkownicy nie mieli najmniejszych problemów z zalogowaniem się.
Do czego zmierzam: czy nie wartałoby zrobić czegoś takiego w Coyote, tzn. przejść na md5? Na 4p mogłoby to być zrobione tak, że w tabeli coyote_users dodałoby się pole np. user_new_password i po zalogowaniu na stronę system sprawdzałby czy nie jest ono puste, jeśli jest to dodawany byłby doń hash (md5()) hasła, które użytkownik wpisał przy logowaniu. Dodatkowo dzięki przejściu na md5 sens miałyby hasła dłuższe niż 8 znaków.
Ja jestem za.
Czy ktoś mi ostatnio nie mówił, że w MD5 wykryto błąd, dzięki któremu ilość kombinacji nie była tak wielka jak przewidywano? (A mozę to byo MD4? - w każym razie słyszałem, że MD* są już "niebezpieczne").
Ale możemy przejść. I tak złamanie hasła zaszyfrowanego MD5 zajęło by ładnych paręnaśćie (tysięcy) lat. MD5 jest częściej spotykane, osobiśćie DES zobaczyłem w akcji tylko w Coyote.
Ktos napisał(a)
osobiśćie DES zobaczyłem w akcji tylko w Coyote.
Ja też.. i tu me zdziwienie długo trwało, gdyż, jak pisałem, zawsze uczono mnie, że DES to szyfr a nie funkcja skrótu - więc da się powrócić do oryginału znając klucz.
No ale to nieistotne w tym momencie...
Ktos napisał(a)
(...)Ale możemy przejść. I tak złamanie hasła zaszyfrowanego MD5 zajęło by ładnych paręnaśćie (tysięcy) lat. MD5 jest częściej spotykane, osobiśćie DES zobaczyłem w akcji tylko w Coyote.
Złamanie hasła składającego się z 6 liter (małych) metodą brute force zajęło mi na duronie 950 (priorytet niski) około 3 godzin :)