29-07-2010, 15:53
Jeżeli cały ten kod jest "ciurkiem" to problem jest oczywisty - najpierw robisz:
A potem:
W efekcie otrzymujesz podwójnie "zamieszane" hasło i nic dziwnego, że się różni od tego, co zostało dodane do bazy.
@Pedro
Otóż nie - ma sens. Do złamania tak zbudowanego hasła musisz stworzyć specjalnie w tym celu utworzoną tablicę tęczową (z dokładnie takim zadeklarowanym algorytmem). Złamać krótkie i proste hasło zakodowane TYLKO w sha1 lub TYLKO w md5 jest bardzo łatwo. Także - zysk na bezpieczeństwie jest, z tym, że chyba nie do końca [/quote]świadomy
Kod PHP:
$pass = sha1(md5($_POST['password']));
A potem:
Kod PHP:
$pass = sha1(md5($pass));
W efekcie otrzymujesz podwójnie "zamieszane" hasło i nic dziwnego, że się różni od tego, co zostało dodane do bazy.
@Pedro
Cytat:Po drugie, jaki jest sens hashowania hasła za pomocą sha1(md5($string))? Żaden.
Otóż nie - ma sens. Do złamania tak zbudowanego hasła musisz stworzyć specjalnie w tym celu utworzoną tablicę tęczową (z dokładnie takim zadeklarowanym algorytmem). Złamać krótkie i proste hasło zakodowane TYLKO w sha1 lub TYLKO w md5 jest bardzo łatwo. Także - zysk na bezpieczeństwie jest, z tym, że chyba nie do końca [/quote]świadomy
