[ gorann @ 09.07.2005. 23:19 ] @
Imam Web aplikaciju pomocu koje kreiram usere cije username-ove i password-e cuvam u tabeli SQL servera. Polje u kome cuvam password je tipa nvarchar. Sta treba da uradim sa passwordom da bi se umesto stvarnog texta u bazi videle "kuke i motike", t.j. kako da kriptujem password tako da oni koji gledaju tabel sa userima ne mogu da vide password vec samo "trunje".

hvala gorann
[ ventura @ 09.07.2005. 23:46 ] @
Najbolje ti je da u bazu cuvas md5 hash tog passworda (hash - jednosmerna enkripcija), i posle kada ti je potrebno da proveris da li se password poklapa sa onim u bazi, jednostavno enkriptujes uneseni password, i proveris da li se poklapa sa onim sto imas upisano u bazu...

Radi vece sigurnosti mozes recimo da 'punis' sve passworde dodatnim hardcodovanim stringom, od recimo 20 karaktera nesto tipa:

OvoJeNekiHardCodeStr

pa onda ako ti neko unese password od 8 karaktera primer:

beograd1

ti ga mergeujes sa hardcodovanim stringom i dobijes:

beograd1iHardCodeStr

onda to provuces kroz md5 hash, uporedis sa onim sto imas u bazi, i dobijes prilicno sigurnu lozinku koja je relativno otporna na brute-force napad...

Evo ti i link:
http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html

[Ovu poruku je menjao ventura dana 10.07.2005. u 00:47 GMT+1]
[ dezelin @ 13.07.2005. 09:26 ] @
Citat:
Radi vece sigurnosti mozes recimo da 'punis' sve passworde dodatnim hardcodovanim stringom, od recimo 20 karaktera nesto tipa:

OvoJeNekiHardCodeStr


Ta konkatencija ne povecava otpornost lozinke na napade ako je string koji dodajes na sve lozinke isti. Samo izracunaj md5 hash lozinke onakve kakvu je korisnik uneo i to je to. Korisnici neka brinu o otpornosti svojih lozinki.

cheers,
Aleksandar Dezelin