Criptare le Password

nodd

Criptare le Password postato il 29/08/2010 12:00:55 nel forum leggi e legalità e modificato da nodd il 29/08/2010 12:02:43

Buon giorno a tutti :-D.
Come alcuni sanno sto programmando una mia land(che aprirà si spera entro settembre)e dato che vorrei aderire al progetto PDl mi sono soffermato sulla Criptazione della Password.
In poche parole per un gestore sarebbe ottimo che nel database non si salvasse la PASSWORD del personaggio, ma ben si la PASSWORD criptata così che il gestore se la password stranamente viene "rubata" o "smarrita" se ne lava le mani e al massimo può cambiarla.
Il mio gdr si basa su codice PHP ed ora che girovagavo un po sul web ho notato dei metodi di criptazione di strighe di codice come:
sha1() e md5()...
Ora il mio problema sta:
Quando un personaggio si registra o modifica o recupera la password quest'ultima verrà sempre (esempio) criptata tipo md5(md5(md5(sha1(md5($pass))))); (ahahah come fai a sgamarla sta passw xD)
Ora,tipo,quando verrà spedita la passw all'e-mail...
Quest'ultima dovrà essere visualizzata CRIPTATA o la PASSWORD normale?...
Intendo,la passw viene spedita così come generata,ma nel database viene salvata criptata.
Poi nel login,si fa il confronto.
if(md5(md5(md5(sha1(md5($pass_inserita))))) == $pass_database){
ok
}else{
non ok!
}

o nell'e-mail spedita la password dovrà essere già criptata?...
Ho le idee un po confuse a riguardo...>.<...
Grazie x le delucidazioni che mi darete :-D
Nando

Pandora Upside Down High School ↗
La prima scuola per sovrannaturali al mondo vi attende! Scoprite il vostro cammino Ancestrale relazionandovi con i compagni e le attività dei club

quota

Pagine → 1

kheper

SCRIVI

29/08/2010 12:25:15

Non puois pedire la password criptata, perché non servirebbe a nulla.

Il sistema di criptazione prevede che uno inserisca una password, ma che venda registrata la versione criptata della stessa e basta.
Dalla versione criptata non si può risalire alla password, ma ogni password, criptata sempre con lo stesso metodo, ha una unica versione criptata. Quindi ogni volta che l'utente digita la password per il log in, il portale cripterà la password digitata e la confronterà appunto con la versione criptata che ha in memoria. Se sono uguali, le password sono sicuramente uguali. Se sono diverse, le password sono sicuramente diverse.
L'unico vantaggio è che nessuno può conoscere la vera password, ma al massimo chi ti entrasse truffaldinamente nel database troverebbe solo la versione criptata della stessa.
Usare la versione criptata per il log in è inutile, perché come già detto al log in si cripta quanto inserito, quindi cripterebbe la criptata, ottenendo qualcosa di diverso ed invalido.
Ovviamente tutto ciò a prescindere da crackers di sorta.

Se vuoi far generare la password ina utomatico al sistema, devi generare la password, criptarla, registrare in database la versione criptata e poi inviare la password (non la versione criptata) all'utente, senza però salvare la password nel database.
Se l'utente perde la mail, dovrà richiedere una nuova password.

(Posmessa: veri programmatori mi smentiscano se ho detto una cavolata, cosa che può sempre accadere)

"Don´t look for a happy ending. It´s not an American story. It´s an Irish one."
(The Devil´s own)

quota

dyrr

SCRIVI

29/08/2010 13:10:37

tutto corretto quanto detto sopra, solo un piccolo consiglio all'autore del topic:

criptare una pass multiple vole con algoritmi come md5 o sha-1 come hai scritto tipo:

md5(md5(md5(sha1(md5($pass)))));

non è una sicurezza maggiore per la pass, un mio consiglio sarebbe ricorrere ad un algoritmo di pass più sicuro come lo sha512 con la funzione: hash(sha512,$pass);
Da quello che so lo sha512 non mi sembra sia ancora stato bucato e al massimo se vuoi aumentare proprio la sicurezza puoi concatenare alla pass un "salt" (per vedere che cosa è un salt ti basta una piccola ricerca su google) per renderla più sicura.

CRSED: F.O.A.D. ↗
Brutale sparatutto MMO in cui vince l'ultimo giocatore che resta in vita nell'arena! Ogni giocatore sarà accompagnato da armi realistiche e magie!

quota

nodd

SCRIVI

29/08/2010 14:49:53

Mmmh...cpt!!!...
Vbb ora vedo^^..L'intoppo stava proprio nel fatto di inviare o no la passw criptata via e.mail...
però mi sorge un dubbio <.<...
Come fà tipo gemini ad accorgersene che il sito usa un sistema di criptazione della passw?

Storie di Agarthi ↗
Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, diventa quello che hai sempre cercato.

quota

kheper

SCRIVI

29/08/2010 15:08:57

Non devi aderire al progetto legalità per far felice gemini XD
Devi aderirci per avere un prodotto più sicuro e più "corretto".

Non posso sapere se la password è registrata criptata, ma di sicuro in svariati modi posso accorgermi se NON lo è.
Ieri mi sono registrata ad un gdr. Nella scheda pg mi diceva qual'era la mia password sopra al tasto "Modifica". Di sicuro so che non è criptata.

"Don´t look for a happy ending. It´s not an American story. It´s an Irish one."
(The Devil´s own)

quota

nodd

SCRIVI

29/08/2010 15:17:06

certo che non lo faccio per gemini,ma ovviamente x la land e x l'utenza^_^...
Il dubbio mo mi veniva sul fatto come gemini potesse accorgersene della criptazione della pass^^....(per il pallino verde in quel determinato punto del PDL)