Изменить метод шифрования

[MSN]-MADCAT

Друг форума
Проверенный
Сообщения
278
Розыгрыши
0
Репутация
51
Реакции
76
Баллы
950
Доброго вечера.
Решил попробовать написать простенькую форму регистрации для сервера л2, ничего такого просто чтоб в локалке висела,
вроде бы все работает в базу логин пароль мыло заносит, но с клиента не авторизуется, ибо предполагаю что метод шифрования отличается, и никак не получается подружить все это дело, помогите найти выход из положения, хотябы пример или что я не так делаю.
Регистрация осуществляется при помощи библиотеки RedBeanPHP.
Вот кусок который сохраняет пароль в БД:
Код: 
$accounts->password = password_hash($data['password'], PASSWORD_DEFAULT);
Но понимаю что нужно не так, а как то так (нашел вариант в гугле):
Код: 
 $accounts->password = base64_encode(pack("H*", sha1(utf8_encode($password))));
Но голова уже пухнет. Не программист только учусь. Не судите строго.
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
 
Обратите внимание, что данный пользователь заблокирован! Не совершайте с ним никаких сделок! Перейдите в его профиль, чтобы узнать причину блокировки.
$accounts->password = password_hash($data['password'], PASSWORD_DEFAULT);
->
$accounts->password = base64_encode(pack("H*", sha1(utf8_encode($data['password']))));
попробуйте
 
Огромнейщее вам СПАСИБО!
 
[MSN]-MADCAT написал(а):
password_hash
Нажмите, чтобы раскрыть...
Уже давно деприкейтед

[MSN]-MADCAT написал(а):
метод шифрования отличается
Нажмите, чтобы раскрыть...
Шифрование это преобразование информация таким образом чтоб её можно было преобразовать из шифртекста в исходный.
Это хеширование, а не шифрование.

Примерно твоя функция должна выглядить как-то так...
PHP: 
    function hashPass($alg = 'sha1', $pass = null) {
        return base64_encode(hash($alg, $pass, true));
    }
 
Моя задача стояла намного проще и то , для ее реализации было внесено 1 единственное изменение с труктуру таблицы, и при всем при етом хоть и длинна хеша теперь не 88 символов как тот же самый вирпул, а всего лиш к примеру 16 символов , при условии разности длинны и сложности создоваемого пароля, его не один брут не смог ломать\подобрать спустя даже 24 часа, Пароль был всего навсего Цыфра 1.
А смысл в хешировании если хеш можно подобрать сломать угадать? Безопасность должна быть безопасной!
Ингда хочется с умничать и написать:
Лучше всего этот пример описан в книге «Прикладная криптография» Брюса Шнайера. Про теорию о энергии для рашифровки 256 битного ключа. Кто читал тот поймет не буду усложнять и приводить цитат.
 
В продолжении темы:
Вот хеш очень ппростой
jTsYZJrNDCQr9lIj3MMA5Wcbczo=
Даш ответ я отдат вам обвязку.
Скрин регистрации
 
Обратите внимание, что данный пользователь заблокирован! Не совершайте с ним никаких сделок! Перейдите в его профиль, чтобы узнать причину блокировки.
честно сказать, ваше гумно никому не нужно
вы предлагаете нам брутить ваш хеш, что бы получить кусок скрипта и кусок шаблона, мне кажется там даже адаптивностью не пахнет, что касается уровня кода не могу сказать, но хотя бы инпуты и батоны оформили красиво
 
Спасибо. Бро
Критика она как бальзам по сердцу.
Пусть гумно, пусть не будете вы брутить, но я добился того чего хотел. Я как девопс планирую свою работу до, в процессе, и результат.
И результат меня устроил!
А по поводу кода там все красиво и понятно. Адаптивность есть к вашему удивлению.
В отличии от всяких гхтвеб и прочих стресов\дле\etc , мне нужен был скрипт который просто регит аккаунт. а все остальное мне фонарь светит.
И еще один + я осваиваю библиотеку RBPhP это реально тема. Ни ожидал для себя.
И даже вы не сможете мне вразумительно , дать то что рельно нужно для конечного юзера, ибо пафос самооуверенность в своей собственной невъебеннс-ти, вам не позволит достич тех результатов которых добиваются простые люди с простым отношением людям.
 
Сейчас бы костыли придумывать.
Толку от хеша?
Вот тебе мд5, который вообще не безопасен, сколько у тебя времени уйдет на его расшифровку и получения пароля? faa4201245dedc16849e0cd4812efee3

Смысл всей защиты, что бы взлом ее стоил дороже чем информация которую ты получишь.

Для ЛК ты можешь использовать любые алгоритмы, кучу солей, и другие приблуды, но для сервера л2 без ищизменен серверной части будешь использовать как Логан выше написал.
 
Да согласен. Мне просто нужен был скрипт еще раз повторюсь. И я его сделал. Мне очень помог человек который первым откликнулся на мой пост. А остальное можете флудить и развивать. Тут так принято я смотрю.
 
Благодарю но есть вопросы:

Код: 
 function hashPass($alg = 'sha1', $pass = null) {
        return base64_encode(hash($alg, $pass, true));
    }
    else function hashPass($alg = 'sha1', $pass = null) {
        return base64_encode(md5($alg, $pass, true));
    }
    else {
    function hashPass($alg = 'md5', $pass = null) {
        return base64_encode(hash($alg, $pass, true));
    }
    if {
    не совпало то гуляй вася
    }

....etc
Зачем RETURN to SOURCE?
Если вы понимаете о чем я.

Проиграл так проиграл никто ненесет ответственности по большому счету.
Все хорошо забытое старое есть новое!
 
А вопще скину 500 р. 00 к. деревянных только за то чтоб сломали хеш указаный в 6 теме. больше он не стоит .
 
Да и еще по поводу гумна, возможно оно вам ненужно, есть элементарные примеры.
За такое гувеное КБ от MaDCaT.pw (ныне несуществует) до сих пор запросы валятся. оно есть у меня хорошо что дождался решения от узкоглазых TLS переходник помог излечить муху ЦЦ на HDD баракуде. выдрал все с мультами и данными. кому нужно отдам за так.
Простота сестра таланта.
 
@[MSN]-MADCAT, ты хоть сам понимаешь что ты пишешь?
Какие то куски неработающего кода.
За 500р хеш... суда по всему самопридуманный метод какой-то...
вон тебе ещё один хеш - расшифруй и будешь знать мой пароль от этого форума. Ну и вознаграждение в 10 раз больше чем ты предлагаешь.
Хеш: You11Are22Out33Of44Your55Mind
 

Community Board от MaDCat

В шаре же
 
я просто оставлю это тут:
 
[MSN]-MADCAT написал(а):
....etc
Зачем RETURN to SOURCE?
Если вы понимаете о чем я.
Нажмите, чтобы раскрыть...
Return чтоб вернуть хэш самого пароля, ибо чтоб не писать множество раз этот же код в тех методах где идет регистрация юзера, либо сброс пароля и т.д.
Но я не понял о чем речь из-за непонятно написанного кода, но может ты хотел как-то так написать...
PHP: 
 function hashPass($alg, $pass = null) {
    switch ($alg) {
        case 'sha1':
            return base64_encode(hash($alg, $pass, true));
            break;
        case 'whirlpool':
            return base64_encode(hash($alg, $pass, true));
            break;
        case 'md5':
            return base64_encode(hash($alg, $pass, true));
            break;
        case 'sha512':
            return base64_encode(hash($alg, $pass, true));
            break;
        default:
            echo 'не совпало то гуляй вася';
            break;
        }
 }
 
Веселая конечно тема, особо удивила запись, что md5 хеш не безопасен. Это почему же, если нет ни одного варианта кроме перебора по словарю? Ну если конечно у вас кверти пасс и хеш под это пасс есть в базах сервисов дешифровки то да. Но если пароль уникальный то это реальная проблема, попробуйте его подобрать)))

Да и если уж хочется большего то почему бы не юзать примерно такое;
<?php
$pass1 = 'какой то пароль';
$pass2 = 'какой то пароль';

$pass1 = md5(md5($pass1));
$pass2 = md5(md5($pass2));
if ($pass1 == $pass2) {
echo "Пароли совпадают. Хеш1 $pass1 Хеш2 $pass2";
} else {
echo "Пароли не совпадают Хеш1 $pass1 Хеш2 $pass2";
}
exit();
?>


Это всего лишь обычнаю тест конструкция просто как пример поднабросал, под любой проект можно переиграть, не думаю что двойной md5 легко будет прогнать по словаю.

Ну а если уж совсем шизоврения (есть сервисы перебора по словарю даже и с двойным md5)можно подтянуть конфиг со здоровенной ключевой фразой, которую довеском подсунуть в формирование двойного md5, тогда уже перебор вообще окажется из роли фантастики, но при этом если вы случайно потрете из конфига эту фразу и не восстановите ее то все пассы в базе станут для юзеров неработоспособны Тут нужно иметь понимание, что слив подобной базы не даст ничего кроме списка ников и мейл адресов, перебирать что то там бесполезно.
 
А давайте MD5 ломать, посылая по одному символу и проверять ответ?
 
User написал(а):
А давайте MD5 ломать, посылая по одному символу и проверять ответ?
Нажмите, чтобы раскрыть...
Вы сами не знаете то, что написали из чего можно сделать простой вывод = набивание постов.
 
Войдите или зарегистрируйтесь для ответа.
Меню
Вход
Регистрация