• Chatbox

    Queres ajudar a comunidade? Queres vê-la a crescer ainda mais? És uma pessoa com boas e consistentes ideias? Então esta oportunidade é para ti 🙂 Se estiveres interessado e motivado, candidata-te à equipa cyber-gamers, estamos a tua espera :D Candidaturas Aqui
    Não tens permissão para utilizar o chat.
    Load More
Entre para seguir isso  
Mário.

Segurança de Dados

8 posts neste tópico

Citar

não é mesma coisa mas hoje em dia não é método mais seguro acho que ele percebeu ideia, basta por no google md5 decrypter que consegue se sem muita dificuldade decriptar a pass. Com o md5+salt é capaz de ser mais seguro, usa uma espécie de SALT na tua password por exemplo: $password = md5($password . '=bia-ny1Ds2.dalj8id1') e aí vemos se alguém te descobre as passwords... kkkkkkkk  Se conseguem "hackear" a tua base de dados, também devem conseguir decriptar o md5 das passwords. Se não encriptares, estás só a poupar-lhes tempo.

 

Isto foi dito pelo @p0w3r0ff no tópico que fiz já a algum tempo e agradeço pela ideia que já foi posta em prática mas com um certo detalhe.

Deram-me a ideia de não juntar o hash com salt e sim de criar duas tabelas que pudessem diferir uma da outra :

 

Antes:

Hidden Content

    Give reaction or reply to this topic to see the hidden content.

 

Depois:

Hidden Content

    Give reaction or reply to this topic to see the hidden content.

 

Sendo impossível saber qual a palavra-passe (char) que foi originada.

De momento não vejo qualquer falha desta forma mas também sugeriram que mudasse para cryptopp usando AES, o que vocês acham?

Há outro tipo de segurança que possa ser melhor ou que forneça melhor desempenho com menos dados (reparei que ao usar este método consumia-se muito menos do que o tradicional)?

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Foi exatamente o que fiz da primeira vez que utilizei encriptação para as contas de uma aplicação que fiz, nunca tive problema algum de segurança com a aplicação.

 

MD5 + Salt (seja na própria ou em outra tabela, a única coisa que muda é a performance) já é suficiente para a mente normal não chegar a alguma das passwords lá existentes.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boas,

 

Estou em erro ou da mesma forma que encriptas uma password (md5+salt ou outra forma qualquer) desencriptas fazendo o inverso?

Sendo que se fizerem leak da tua db poderão igualmente fazer leak do teu site e respectivas funções, fazendo com que o 'impossível' na tua afirmação se torne em 'possível' "Sendo impossível saber qual a palavra-passe (char) que foi originada." . Ou estou em erro? - A não ser que encriptes também os teus ficheiros php com aplicações como ioncube (que por sinal também é passível de desencriptação, apesar de não de forma fácil).

 

Cumprimentos

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 hora atrás, Moisés. disse:

Estou em erro ou da mesma forma que encriptas uma password (md5+salt ou outra forma qualquer) desencriptas fazendo o inverso?

 

Lembra-te que é MD5, é uma OWE (One Way Encryption), não há desencriptação, apenas comparação de Hashes.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Entre para seguir isso