Mário. 154 Posted February 5, 2018 Citar não é mesma coisa mas hoje em dia não é método mais seguro acho que ele percebeu ideia, basta por no google md5 decrypter que consegue se sem muita dificuldade decriptar a pass. Com o md5+salt é capaz de ser mais seguro, usa uma espécie de SALT na tua password por exemplo: $password = md5($password . '=bia-ny1Ds2.dalj8id1') e aí vemos se alguém te descobre as passwords... kkkkkkkk Se conseguem "hackear" a tua base de dados, também devem conseguir decriptar o md5 das passwords. Se não encriptares, estás só a poupar-lhes tempo. Isto foi dito pelo @p0w3r0ff no tópico que fiz já a algum tempo e agradeço pela ideia que já foi posta em prática mas com um certo detalhe. Deram-me a ideia de não juntar o hash com salt e sim de criar duas tabelas que pudessem diferir uma da outra : Antes: Depois: Sendo impossível saber qual a palavra-passe (char) que foi originada. De momento não vejo qualquer falha desta forma mas também sugeriram que mudasse para cryptopp usando AES, o que vocês acham? Há outro tipo de segurança que possa ser melhor ou que forneça melhor desempenho com menos dados (reparei que ao usar este método consumia-se muito menos do que o tradicional)? Share this post Link to post Share on other sites
BPinto98 235 Posted February 5, 2018 1 hora atrás, Mário. disse: Sendo impossível saber qual a palavra-passe (char) que foi originada. Tens a certeza? :o Share this post Link to post Share on other sites
KB WORK 19 Posted February 5, 2018 1 minuto atrás, BPinto98 disse: Tens a certeza? :o Gostava de ter fazer tal coisa por acaso. Share this post Link to post Share on other sites
Mário. 154 Posted February 5, 2018 Podem testar e provar-me o contrário: d077f326e128d02e99bdb29294e2bd8b 3eeea885cbcd6a81a8e2b47bd5b6e28a Share this post Link to post Share on other sites
Cσяvσ⋆ 1,804 Posted February 5, 2018 Foi exatamente o que fiz da primeira vez que utilizei encriptação para as contas de uma aplicação que fiz, nunca tive problema algum de segurança com a aplicação. MD5 + Salt (seja na própria ou em outra tabela, a única coisa que muda é a performance) já é suficiente para a mente normal não chegar a alguma das passwords lá existentes. 1 Mário. reacted to this Share this post Link to post Share on other sites
VMP. 202 Posted February 5, 2018 Boas, Estou em erro ou da mesma forma que encriptas uma password (md5+salt ou outra forma qualquer) desencriptas fazendo o inverso? Sendo que se fizerem leak da tua db poderão igualmente fazer leak do teu site e respectivas funções, fazendo com que o 'impossível' na tua afirmação se torne em 'possível' "Sendo impossível saber qual a palavra-passe (char) que foi originada." . Ou estou em erro? - A não ser que encriptes também os teus ficheiros php com aplicações como ioncube (que por sinal também é passível de desencriptação, apesar de não de forma fácil). Cumprimentos 1 Mário. reacted to this Share this post Link to post Share on other sites
Cσяvσ⋆ 1,804 Posted February 5, 2018 1 hora atrás, Moisés. disse: Estou em erro ou da mesma forma que encriptas uma password (md5+salt ou outra forma qualquer) desencriptas fazendo o inverso? Lembra-te que é MD5, é uma OWE (One Way Encryption), não há desencriptação, apenas comparação de Hashes. 1 Mário. reacted to this Share this post Link to post Share on other sites