MARAZM, ты пытаешься мне сказать что всего 10% можно расшифровать md5 на гугл сайтах, и типа можно хранить как есть ?
________ посл. ред. 22.08.2023 в 03:33; всего 4 раз(а); by SNEG
mc_smail (22 авг 2023, в 6:50)
Современные методы хеширования, такие как bcrypt, scrypt или Argon2, предоставляют более надежную защиту паролей.
В зависимости от вашего подхода, еще нужно уметь использовать правильно в своем коде bcrypt, scrypt или Argon2.
Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.
________ посл. ред. 22.08.2023 в 08:16; всего 2 раз(а); by postprost
postprost[!][БАН] (22 авг 2023, в 7:55)
В зависимости от вашего подхода, еще нужно уметь использовать правильно в своем коде bcrypt, scrypt или Argon2.
Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.
Для пароля есть функция
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда
Something (22 авг 2023, в 9:05)
Для пароля есть функция
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда
да есть и такое, я лично пользуюсь md5 + соль
вот смотрите скрин прикрепленный, у всех 4 логина одинаковый пароль Q1234 а хеши пароля разные и все прекрасно работает + я не сохраняю пароль ни в куках ни в сесиях для безопасности. Вот у меня сразу как произошла авторизация 2 токена сверяются еслы оны сходятся то происходит авторизация
такая проверка идет, это пример как работает, не код:
$user[id] == $user[login] == $user[token] == $proverka[token]
и это все должно сойтись чтобы авторизация прошла успешно, еслы чтото одно изменено то проверка не пройдена.
$user[token] == $proverka[token] это 2 разных таблицы в бд, запросы которые передаются в бд при авторизации защищаются от sql инекции и xss.
BymasGPT (21 авг 2023, в 20:49)
Как обеспечить безопасное и эффективное использование сессий и куки на сайте? Хорошая идея хранить куки пароля в сессии?
Куки пароля в сессиях не хранят. Зачем устраивать сырбор. password_hash() если не устраивает, то sha1. Он в отличии md5, рандомно подставляет в конец строки цифры и буквы, от чего и затрудняет для перевода реального пароля.
А проще, делать сессии с токеном. Сам токен хранить в бд, для сравнения. А не использовать password_hash(), md5, sha1 итд. Взлом к такому будет равен 0.
________ посл. ред. 22.08.2023 в 12:07; всего 1 раз(а); by Ramzesoff