1. Zuhause
  2. Frage und Antwort
  3. Überprüfen, ob das Eingabe-Passwort korrekt war

Überprüfen, ob das Eingabe-Passwort korrekt war

2017-03-04 28 views
0

Mein Programm war nur für mich bis jetzt. wurde ich gebeten, es öffentlich für meine Schule zu machen, aber da ich jetzt nur useriname und Passwort vergleichen wieÜberprüfen, ob das Eingabe-Passwort korrekt war

wenn inputu == Benutzername & & inputp == Passwort

aber dann gehe ich über Einhaken und Sachen lese die Erinnerung aus und wenn ich es so vergleiche, sollte es wirklich einfach sein, Zugang zu bekommen.

Ich habe keine Ahnung davon, es zu speichern, hörte ich über "hashing" die PW und dann Hash-Eingang mit dem gleichen Algorithmus und vergleichen Sie die Hashs aber können Sie nicht auch den Algorithmus vorlesen?

Ich habe keine Ahnung, danke für Hilfe!

Quelle

2017-03-04 typenameאlfa

+0

* "Aber können Sie nicht auch den Algorithmus vorlesen?" * Ja, aber das bedeutet nicht, dass Ihr Programm unsicher ist. Berücksichtigen Sie, dass RSA und ECDSA offene kryptografische Algorithmen sind, die ebenfalls als sicher gelten. Gute kryptografische Algorithmen sind trotz * bekannt. – cdhowie

+0

Wenn jemand Ihr Passwort brechen möchte, wird er es tun. Warum willst du es sicher machen? Was ist der Zweck dieses Passworts? – user463035818

+0

Was Sie tun möchten, ist ein Verschlüsselungsalgorithmus wie 'sha512'. Sie nehmen das Benutzerpasswort an, fügen ein 'salt' hinzu und führen es dann durch den 'sha512'-Algorithmus und speichern dieses dann als ihr Passwort.Wenn Sie sich erneut anmelden, folgen Sie den gleichen Schritten und vergleichen das gespeicherte verschlüsselte Passwort mit dem eingegebenen. –

Antwort

0

Die Verwendung einer Hash-Funktion ist nicht ausreichend und nur das Hinzufügen eines Salzes trägt wenig zur Verbesserung der Sicherheit bei, kryptografische Hashes sind sehr schnell. Stattdessen iterieren Sie über eine HMAC mit einer zufälligen Salz für etwa 100ms Dauer und speichern Sie das Salz mit dem Hash.

Verwenden Funktionen wie PBKDF2 (aka Rfc2898DeriveBytes), password_hash/password_verify, Bcrypt und ähnliche Funktionen. Es geht darum, den Angreifer dazu zu bringen, viel Zeit mit der Suche nach Passwörtern zu verbringen.

Referenzen:

Siehe How to securely hash passwords, The Theory auf Sicherheit Stack.

Siehe OWASP (Open Web Application Security-Projekt) Password Storage Cheat Sheet.

Siehe Modern, Secure, Salted Password Hashing Made Simple

Ihre Nutzer zu schützen ist wichtig, im Auge behalten, dass die Benutzer das gleiche Passwort auf vielen Websites verwenden, wenn Sie Ihre Passwörter kompromittiert sind, dass können die Benutzer auf anderen Websites. Bitte verwenden Sie sichere Passwort-Methoden.

Bücher:

Handbook of Applied Cryptography von Alfred J. Menezes, Paul C. van Oorschot und Scott A. Vanstone finden Sie kostenlos herunterladen

Cryptography Engineering von Niels Ferguson, Bruce Schneier und Tadayoshi Kohno

Applied Cryptography von Bruce Schneier

Cryptography Decrypted von H. X. Mel und Doris M. Baker (guter Starter, mag ich wirklich)

Quelle

2017-03-05 00:21:49 zaph

+0

vielen dank, ich habe jetzt eine idee wo ich anfangen kann! –

+0

vielen dank !! –

Verwandte Themen

 Verwandte Themen