PTT數位生活區 / Web_Design

[問題] 有關php網頁加入md5後

看板Web_Design作者 (.......)時間10年前 (2014/05/28 23:55), 10年前編輯推噓17(17091)
留言108則, 9人參與, 最新討論串1/2 (看更多)
做了一個會員登入的頁面... 1. 如果在語法中的密碼欄位加入md5,在資料庫中的密碼欄位就會變成無意義亂碼,對吧? 2. 承1,如果變成無意義亂碼,那登入會員時輸入密碼, 資料庫又怎麼跟已變成無意義數字比對? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.210.237 ※ 文章網址: http://www.ptt.cc/bbs/Web_Design/M.1401292557.A.C1D.html
05/29 00:01, , 1F
就把他登入會員時的密碼,拿去md5,看是否一樣啊...
05/29 00:01, 1F
05/29 00:13, , 2F
md5 只要輸入一樣輸出就會一樣, 所以就照一樓做的就好
05/29 00:13, 2F
05/29 00:37, , 3F
一個資料未加密叫做明文 經過處理後叫做密文
05/29 00:37, 3F
05/29 00:37, , 4F
你就用密文去比對資料庫內的密文就解了
05/29 00:37, 4F
05/29 09:07, , 5F
XDDDDDDD
05/29 09:07, 5F
05/29 09:24, , 6F
跟你問題沒關不過建議不要用md5,連sha1都快要被淘汰了..
05/29 09:24, 6F
05/29 10:03, , 7F
如果 PHP >= 5.5 的話有 password_hash() 可以用 XD
05/29 10:03, 7F
※ 編輯: woti (220.134.210.237), 05/29/2014 23:54:55
05/29 23:56, , 8F
哪兒來的無意義亂碼 那碼都很有意義的好嗎~
05/29 23:56, 8F
05/29 23:56, , 9F
MD5還是很安全的
05/29 23:56, 9F
05/29 23:57, , 10F
最平常的密碼加密 pws= 'md5(account,password)'
05/29 23:57, 10F
05/30 00:14, , 11F
對沒有程式或密碼學概念的,真的叫做亂碼XD
05/30 00:14, 11F
05/30 00:16, , 12F
sha1 跟 md5 是很安全的 而且只要融入凱撒密碼的概念
05/30 00:16, 12F
05/30 00:17, , 13F
再對計算出來的 digest 進行資料替換
05/30 00:17, 13F
05/30 00:17, , 14F
Rainbow table attack 完全起不了作用
05/30 00:17, 14F
05/30 00:17, , 15F
除非一開始就知道凱薩密碼的秘密
05/30 00:17, 15F
05/30 00:25, , 16F
bcrypt scrypt hacker不會想硬碰硬
05/30 00:25, 16F
05/30 01:01, , 17F
hash value除了value以外沒別的意義,說亂碼沒錯啊
05/30 01:01, 17F
05/30 01:02, , 18F
演算法不單是安全的問題,還有觀感問題,有建議用的就用
05/30 01:02, 18F
05/30 01:02, , 19F
SOR 我指的是 "無意義"亂碼
05/30 01:02, 19F
05/30 01:03, , 20F
而且不是所有人都會公佈發現的破解法,尤其像NSA之類的
05/30 01:03, 20F
05/30 01:08, , 21F
少在那危言聳聽 md5到目前為止還是很安全的演算法
05/30 01:08, 21F
05/30 01:09, , 22F
hash 其實也不會差距太多 看你加密的方式而已
05/30 01:09, 22F
05/30 01:09, , 23F
md5怕rainbow table attack而已 要碰撞還真的遇不太到
05/30 01:09, 23F
05/30 01:10, , 24F
不過如果用在檔案資料的驗證/稽核上,就得用sha1了
05/30 01:10, 24F
05/30 01:10, , 25F
05/30 01:10, 25F
05/30 01:12, , 26F
除非有明顯好處,不然為什麼要特別用許多人不敢用的東西?
05/30 01:12, 26F
05/30 01:12, , 27F
多少人使用php 多少人 在5.5up? 我在多重加密的份上
05/30 01:12, 27F
05/30 01:12, , 28F
上面不就說了不只是安全問題
05/30 01:12, 28F
05/30 01:13, , 29F
目前來說根本就不可能的東西你也要講 也只有PHP 能用
05/30 01:13, 29F
05/30 01:14, , 30F
php官方大概是希望用這個方式來強迫初學者用更合適的方案
05/30 01:14, 30F
05/30 01:15, , 31F
假設發言者不是使用php 那不就使整個再誤導他嗎
05/30 01:15, 31F
05/30 01:15, , 32F
不是我也要講,是有人在講,上面那個不是要說PHP有bcrypt能
05/30 01:15, 32F
05/30 01:15, , 33F
他的概念在我數年前就幹過了 我能理解官方會特別寫一篇的原因
05/30 01:15, 33F
05/30 01:15, , 34F
用,是要說這又不是只有我在危言聳聽
05/30 01:15, 34F
05/30 01:16, , 35F
加密的問題本來就是自己在撰寫程式的時候的事情
05/30 01:16, 35F
05/30 01:16, , 36F
跟 md5 hash有什麼關係 -.-
05/30 01:16, 36F
05/30 01:17, , 37F
就算不是只是你在危言聳聽 你也是幫兇不是嗎 -.-
05/30 01:17, 37F
05/30 01:18, , 38F
現實就已經是這樣,與其說危不危言,不如舉用md5的好處在哪?
05/30 01:18, 38F
還有 30 則推文
05/30 01:40, , 69F
你自己想想看 md5就像是一直牛都給攪碎機攪碎
05/30 01:40, 69F
05/30 01:40, , 70F
出來都是組合牛肉,看起來都差不多
05/30 01:40, 70F
05/30 01:40, , 71F
除非你禁止使用者使用弱密碼
05/30 01:40, 71F
05/30 01:40, , 72F
不然一個弱密碼會變加密的缺口www
05/30 01:40, 72F
05/30 01:42, , 73F
沒有完美的鑰匙 這沒辦法
05/30 01:42, 73F
05/30 01:44, , 74F
不過大部分遇到的漏洞是,應用層這邊的問題比較大
05/30 01:44, 74F
05/30 01:45, , 75F
然後db資料就莫名其妙被流出去了,
05/30 01:45, 75F
05/30 01:45, , 76F
各家公司只能賭人品 對方不會用cmd5.com之類的服務解md5
05/30 01:45, 76F
05/30 01:46, , 77F
如果沒有一定的線索,駭客沒有電影演的那麼神,要入侵就入侵
05/30 01:46, 77F
05/30 01:46, , 78F
要破解密碼就破解密碼 CSI犯罪現場看似那麼神 也沒真的出現
05/30 01:46, 78F
05/30 01:47, , 79F
除非公司特別被鎖定了,否則真的沒有駭客對你的東西太感興趣
05/30 01:47, 79F
05/30 01:48, , 80F
網路犯罪是需要很周詳的計劃才能執行的
05/30 01:48, 80F
05/30 01:49, , 81F
基本上主機會被入侵都不是因為密碼的問題 -.-
05/30 01:49, 81F
05/30 01:50, , 82F
9成都是自己權限或是系統的漏洞讓人侵入的 跟編碼有什麼關係
05/30 01:50, 82F
05/30 01:50, , 83F
avast前陣子被入侵 整個糗爆XD
05/30 01:50, 83F
05/30 01:50, , 84F
解密碼只因為一點 很有可能其他網站也能用(笑
05/30 01:50, 84F
05/30 01:51, , 85F
現在真的要弄才懶得拿字點檔跟你拚呢 這樣風險多大啊?
05/30 01:51, 85F
05/30 01:51, , 86F
密碼當然是DB dump出來離線慢慢解成明文啊...
05/30 01:51, 86F
05/30 01:52, , 87F
那也是要先被漏出來.....
05/30 01:52, 87F
05/30 01:52, , 88F
而密碼被解成明文才是最危險的部分啊
05/30 01:52, 88F
05/30 01:53, , 89F
密碼要hash就是怕DB被dump後能拿到每個人的"常用"密碼啊
05/30 01:53, 89F
05/30 01:53, , 90F
不過這對一般網站而言 可能到他的曾孫都不會發生的事情吧
05/30 01:53, 90F
05/30 01:54, , 91F
您說的那高風險的問題~ 還是要回歸到原始 編碼問題~
05/30 01:54, 91F
05/30 01:56, , 92F
回歸到一個基本的面向,程式師設計最起碼要知道md5的極限XD
05/30 01:56, 92F
05/30 01:57, , 93F
db 這種東西 archive 起來 幾G幾T而已 要擺多久都可以
05/30 01:57, 93F
05/30 01:58, , 94F
php被sql injection這個弄到怕怕der了
05/30 01:58, 94F
05/30 01:58, , 95F
官方大概是考量往後的資訊安全,弄了 password_hash
05/30 01:58, 95F
05/30 01:59, , 96F
不過我還真不曉得,如果這種東西要跟異質系統結合 要怎麼遷
05/30 01:59, 96F
05/30 01:59, , 97F
其他的語言有類似 password_hash 的實作嗎 @@
05/30 01:59, 97F
05/30 02:00, , 98F
感覺沒喬好系統整個被php綁死
05/30 02:00, 98F
05/30 02:02, , 99F
密碼學的東西 真的要知道去看點書上個課
05/30 02:02, 99F
05/30 02:03, , 100F
bcrypt都有啊 algo 怎麼會綁在某語言上
05/30 02:03, 100F
05/30 02:03, , 101F
利害你弄出一套通用的演算 再來講 不然md5 還是很夠吃的
05/30 02:03, 101F
05/30 02:04, , 102F
banjmin =...= 沒注意看到
05/30 02:04, 102F
05/30 02:05, , 103F
不然普遍的中小型網站都是很夠用的 -.- 只要你加密的對象是
05/30 02:05, 103F
05/30 02:06, , 104F
是夠多的
05/30 02:06, 104F
05/30 02:09, , 105F
我總覺得這個樓..歪蠻大的 哈哈
05/30 02:09, 105F
05/30 02:10, , 106F
原PO不知上哪去了
05/30 02:10, 106F
05/30 02:14, , 107F
資安問題 這樣歪也還好 md5~~~~~~~~~~~~~~~~~~~
05/30 02:14, 107F
05/30 03:18, , 108F
反正md5強度不差 就怕沒salt 那就真的跟沒有一樣...
05/30 03:18, 108F
更多 woti 的文章
文章代碼(AID): #1JXWSDmT (Web_Design)
討論串 (同標題文章)
以下文章回應了本文
完整討論串 (本文為第 1 之 2 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共2篇)
Web_Design 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 woti 的文章
文章代碼(AID): #1JXWSDmT (Web_Design)