Изменить метод шифрования

[MSN]-MADCAT

Участник
Пользователь
#1
Доброго вечера.
Решил попробовать написать простенькую форму регистрации для сервера л2, ничего такого просто чтоб в локалке висела,
вроде бы все работает в базу логин пароль мыло заносит, но с клиента не авторизуется, ибо предполагаю что метод шифрования отличается, и никак не получается подружить все это дело, помогите найти выход из положения, хотябы пример или что я не так делаю.
Регистрация осуществляется при помощи библиотеки RedBeanPHP.
Вот кусок который сохраняет пароль в БД:
Код:
$accounts->password = password_hash($data['password'], PASSWORD_DEFAULT);
Но понимаю что нужно не так, а как то так (нашел вариант в гугле):
Код:
 $accounts->password = base64_encode(pack("H*", sha1(utf8_encode($password))));
Но голова уже пухнет. Не программист только учусь. Не судите строго.

lead nitrate molar mass
 

Logan22

Свой человек
Проверенный
#4
Уже давно деприкейтед

метод шифрования отличается
Шифрование это преобразование информация таким образом чтоб её можно было преобразовать из шифртекста в исходный.
Это хеширование, а не шифрование.

Примерно твоя функция должна выглядить как-то так...
PHP:
    function hashPass($alg = 'sha1', $pass = null) {
        return base64_encode(hash($alg, $pass, true));
    }
 

[MSN]-MADCAT

Участник
Пользователь
#5
Моя задача стояла намного проще и то , для ее реализации было внесено 1 единственное изменение с труктуру таблицы, и при всем при етом хоть и длинна хеша теперь не 88 символов как тот же самый вирпул, а всего лиш к примеру 16 символов , при условии разности длинны и сложности создоваемого пароля, его не один брут не смог ломать\подобрать спустя даже 24 часа, Пароль был всего навсего Цыфра 1.
А смысл в хешировании если хеш можно подобрать сломать угадать? Безопасность должна быть безопасной!
Ингда хочется с умничать и написать:
Лучше всего этот пример описан в книге «Прикладная криптография» Брюса Шнайера. Про теорию о энергии для рашифровки 256 битного ключа. Кто читал тот поймет не буду усложнять и приводить цитат.
 

[MSN]-MADCAT

Участник
Пользователь
#6
В продолжении темы:
Вот хеш очень ппростой
jTsYZJrNDCQr9lIj3MMA5Wcbczo=
Даш ответ я отдат вам обвязку.
Скрин регистрации
 

masone

Знающий
Местный
#7
В продолжении темы:
Вот хеш очень ппростой
jTsYZJrNDCQr9lIj3MMA5Wcbczo=
Даш ответ я отдат вам обвязку.
Скрин регистрации
честно сказать, ваше гумно никому не нужно
вы предлагаете нам брутить ваш хеш, что бы получить кусок скрипта и кусок шаблона, мне кажется там даже адаптивностью не пахнет, что касается уровня кода не могу сказать, но хотя бы инпуты и батоны оформили красиво:-)
 

[MSN]-MADCAT

Участник
Пользователь
#8
Спасибо. Бро :-)
Критика она как бальзам по сердцу.
Пусть гумно, пусть не будете вы брутить, но я добился того чего хотел. Я как девопс планирую свою работу до, в процессе, и результат.
И результат меня устроил!
А по поводу кода там все красиво и понятно. Адаптивность есть к вашему удивлению.
В отличии от всяких гхтвеб и прочих стресов\дле\etc , мне нужен был скрипт который просто регит аккаунт. а все остальное мне фонарь светит.
И еще один + я осваиваю библиотеку RBPhP это реально тема. Ни ожидал для себя.
И даже вы не сможете мне вразумительно , дать то что рельно нужно для конечного юзера, ибо пафос самооуверенность в своей собственной невъебеннс-ти, вам не позволит достич тех результатов которых добиваются простые люди с простым отношением людям.
 

Desquire

Поклонник кармы
Партнер
#9
Сейчас бы костыли придумывать.
Толку от хеша?
Вот тебе мд5, который вообще не безопасен, сколько у тебя времени уйдет на его расшифровку и получения пароля? faa4201245dedc16849e0cd4812efee3

Смысл всей защиты, что бы взлом ее стоил дороже чем информация которую ты получишь.

Для ЛК ты можешь использовать любые алгоритмы, кучу солей, и другие приблуды, но для сервера л2 без ищизменен серверной части будешь использовать как Логан выше написал.
 

[MSN]-MADCAT

Участник
Пользователь
#10
Сейчас бы костыли придумывать.
Толку от хеша?
Вот тебе мд5, который вообще не безопасен, сколько у тебя времени уйдет на его расшифровку и получения пароля? faa4201245dedc16849e0cd4812efee3

Смысл всей защиты, что бы взлом ее стоил дороже чем информация которую ты получишь.

Для ЛК ты можешь использовать любые алгоритмы, кучу солей, и другие приблуды, но для сервера л2 без ищизменен серверной части будешь использовать как Логан выше написал.
Да согласен. Мне просто нужен был скрипт еще раз повторюсь. И я его сделал. Мне очень помог человек который первым откликнулся на мой пост. А остальное можете флудить и развивать. Тут так принято я смотрю.
 

[MSN]-MADCAT

Участник
Пользователь
#11
Благодарю но есть вопросы:
Уже давно деприкейтед
Шифрование это преобразование информация таким образом чтоб её можно было преобразовать из шифртекста в исходный.
Это хеширование, а не шифрование.

Примерно твоя функция должна выглядить как-то так...
PHP:
    function hashPass($alg = 'sha1', $pass = null) {
        return base64_encode(hash($alg, $pass, true));
    }
Код:
 function hashPass($alg = 'sha1', $pass = null) {
        return base64_encode(hash($alg, $pass, true));
    }
    else function hashPass($alg = 'sha1', $pass = null) {
        return base64_encode(md5($alg, $pass, true));
    }
    else {
    function hashPass($alg = 'md5', $pass = null) {
        return base64_encode(hash($alg, $pass, true));
    }
    if {
    не совпало то гуляй вася
    }
....etc
Зачем RETURN to SOURCE?
Если вы понимаете о чем я.

Проиграл так проиграл никто ненесет ответственности по большому счету.
Все хорошо забытое старое есть новое!
 

[MSN]-MADCAT

Участник
Пользователь
#12
А вопще скину 500 р. 00 к. деревянных только за то чтоб сломали хеш указаный в 6 теме. больше он не стоит .
 

[MSN]-MADCAT

Участник
Пользователь
#13
честно сказать, ваше гумно никому не нужно
вы предлагаете нам брутить ваш хеш, что бы получить кусок скрипта и кусок шаблона, мне кажется там даже адаптивностью не пахнет, что касается уровня кода не могу сказать, но хотя бы инпуты и батоны оформили красиво:-)
Да и еще по поводу гумна, возможно оно вам ненужно, есть элементарные примеры.
За такое гувеное КБ от MaDCaT.pw (ныне несуществует) до сих пор запросы валятся. оно есть у меня хорошо что дождался решения от узкоглазых TLS переходник помог излечить муху ЦЦ на HDD баракуде. выдрал все с мультами и данными. кому нужно отдам за так.
Простота сестра таланта.
 

Desquire

Поклонник кармы
Партнер
#14
@[MSN]-MADCAT, ты хоть сам понимаешь что ты пишешь?
Какие то куски неработающего кода.
За 500р хеш... суда по всему самопридуманный метод какой-то...
вон тебе ещё один хеш - расшифруй и будешь знать мой пароль от этого форума. Ну и вознаграждение в 10 раз больше чем ты предлагаешь.
Хеш: You11Are22Out33Of44Your55Mind
 

Desquire

Поклонник кармы
Партнер
#15
Да и еще по поводу гумна, возможно оно вам ненужно, есть элементарные примеры.
За такое гувеное КБ от MaDCaT.pw (ныне несуществует) до сих пор запросы валятся. оно есть у меня хорошо что дождался решения от узкоглазых TLS переходник помог излечить муху ЦЦ на HDD баракуде. выдрал все с мультами и данными. кому нужно отдам за так.
Простота сестра таланта.
https://mmo-develop.ru/threads/community-board-от-madcat.1525/

В шаре же
 

Мишаня

Интересующийся
Местный
#16
Да и еще по поводу гумна, возможно оно вам ненужно, есть элементарные примеры.
За такое гувеное КБ от MaDCaT.pw (ныне несуществует) до сих пор запросы валятся. оно есть у меня хорошо что дождался решения от узкоглазых TLS переходник помог излечить муху ЦЦ на HDD баракуде. выдрал все с мультами и данными. кому нужно отдам за так.
Простота сестра таланта.
я просто оставлю это тут:
Shot00000.jpg Shot00001.jpg Shot00002.jpg Shot00381.jpg Shot00380.jpg
 

Logan22

Свой человек
Проверенный
#17
....etc
Зачем RETURN to SOURCE?
Если вы понимаете о чем я.
Return чтоб вернуть хэш самого пароля, ибо чтоб не писать множество раз этот же код в тех методах где идет регистрация юзера, либо сброс пароля и т.д.
Но я не понял о чем речь из-за непонятно написанного кода, но может ты хотел как-то так написать...
PHP:
 function hashPass($alg, $pass = null) {
    switch ($alg) {
        case 'sha1':
            return base64_encode(hash($alg, $pass, true));
            break;
        case 'whirlpool':
            return base64_encode(hash($alg, $pass, true));
            break;
        case 'md5':
            return base64_encode(hash($alg, $pass, true));
            break;
        case 'sha512':
            return base64_encode(hash($alg, $pass, true));
            break;
        default:
            echo 'не совпало то гуляй вася';
            break;
        }
 }
 

Alligat0r

Интересующийся
Местный
#18
Веселая конечно тема, особо удивила запись, что md5 хеш не безопасен. Это почему же, если нет ни одного варианта кроме перебора по словарю? Ну если конечно у вас кверти пасс и хеш под это пасс есть в базах сервисов дешифровки то да. Но если пароль уникальный то это реальная проблема, попробуйте его подобрать)))

Да и если уж хочется большего то почему бы не юзать примерно такое;
<?php
$pass1 = 'какой то пароль';
$pass2 = 'какой то пароль';

$pass1 = md5(md5($pass1));
$pass2 = md5(md5($pass2));
if ($pass1 == $pass2) {
echo "Пароли совпадают. Хеш1 $pass1 Хеш2 $pass2";
} else {
echo "Пароли не совпадают Хеш1 $pass1 Хеш2 $pass2";
}
exit();
?>


Это всего лишь обычнаю тест конструкция просто как пример поднабросал, под любой проект можно переиграть, не думаю что двойной md5 легко будет прогнать по словаю.

Ну а если уж совсем шизоврения (есть сервисы перебора по словарю даже и с двойным md5)можно подтянуть конфиг со здоровенной ключевой фразой, которую довеском подсунуть в формирование двойного md5, тогда уже перебор вообще окажется из роли фантастики, но при этом если вы случайно потрете из конфига эту фразу и не восстановите ее то все пассы в базе станут для юзеров неработоспособны:-) Тут нужно иметь понимание, что слив подобной базы не даст ничего кроме списка ников и мейл адресов, перебирать что то там бесполезно.
 

User

Пляшущий с бубном
Пользователь
#19
А давайте MD5 ломать, посылая по одному символу и проверять ответ?
 
Сверху Снизу