ذخیره ی مستقیم رمز عبور در دیتابیس یا رمز نگاری رمز عبور؟ [بایگانی]

olampiad

پنج شنبه 27 اسفند 1394, 15:44 عصر

سلام و خسته نباشید به دوستان عزیز
ی سوالی هستش که خیلی وقته دهنمو درگیر خودش کرده.
آیا شما تو پروژه هاتون هنگام ثبت نام رمز عبور کاربر رو مستقیم وارد دیتابیس میکنین یا با استفاده از الگوریتم های رمزنگاری اونارو تغییر میدین؟
خوب اگه هکر بخواد دیتابیس منو هک کنه راحت میتونه به پسوورد ها دسترسی داشته باشه و راحتم میتونه الگوریتم رمزنگاری رو حدث بزنه .
میشه تو این زمینه ی کوچولو راهنماییم کنین؟
اگه پیشنهادی دارین بگین.
ممنون

Unique

پنج شنبه 27 اسفند 1394, 19:53 عصر

آیا شما تو پروژه هاتون هنگام ثبت نام رمز عبور کاربر رو مستقیم وارد دیتابیس میکنین یا با استفاده از الگوریتم های رمزنگاری اونارو تغییر میدین؟
کسی کلمه عبور را رمزنگاری نمیکنه ! یعنی encrypt نمیکنه ! کلمه عبور را hash میکنتد. hash برگشت پذیر نیست و خودتون هم نمیتونید از روش Hash چیزی را برگردونین ! هیچوقت کلمه عبور کاربران را به صورت Plain Text ذخیره نکنید و حتما hash کنید.

خوب اگه هکر بخواد دیتابیس منو هک کنه راحت میتونه به پسوورد ها دسترسی داشته باشه و راحتم میتونه الگوریتم رمزنگاری رو حدث بزنه .
همونطور که در بالا گفتنم خیر ! hash برگشت پذیر نیست.

تیو انجمن خیلی در مورد md5 و sha1 و ... و هیانکه بهترین روش چیه بحث شده و با کمی جستجو پیدا میکنید.