Dodawanie time() do publicznego klucza PHP

Question

Witam, mój klucz publiczny składa się z 50 losowych znaków dla użytkownika, nawet dla kluczy do resetowania/ weryfikacji hasla, szansa na kolizje jest ekstrymalnie mała, ale jednak istnieje.

 

Czy dodanie do tego time() co zmniejszy znacznie szanse na kolizje jest dobrym pomyslem?

Jak zareagują użytkownicy, osoby znające się na php gdy w wygenerowanym tokenie zobaczą surową funkcję time() doklejoną?

hashowanie nie wchodzi w grę przy time, ponieważ ma ograniczoną liczbę znaków i szansa na kolizje znów jest większa.

Comments

hashowanie nie wchodzi w grę przy time, ponieważ ma ograniczoną liczbę znaków i szansa na kolizje znów jest większa.

Jaka jest szansa, że np. w SHA-512 dojdzie do kolizji? Wydaje mi się, że problem jest mocno hipotetyczny. 

Answer 1

https://github.com/ramsey/uuid to powinno załatwić sprawę.

Answer 2

Moim zdaniem dobry pomysł aby na przykład wygenerowany losowo klucz pomnożyć przez coś zależne od czasu. Jak chcesz mieć pewność że klucz się nie powtórzy to zapętl to i zatrzymaj pętlę gdy klucz nie będzie figurował w bazie danych.

Comments

Możesz zamienić czas na jednego inta i losowe liczby z niego wyrwać i te liczby sklejone dadzą mnożnik.

---

Mnożenie zwiększy długość ciągu, a sam czas jest bardzo unikatowy i niepowtarzalny (nie cofa się, to dobrze). szukanie czy nie istnieje obecny w bazie to dodatkowe obciążenie, szczególnie w dużych bazach, preferuje żeby generowało unikatowy za pierwszym razem.

 

Rozchodzi mi się głównie o to, czy doklejenie surowego time() (ujawnienie użytkowniki, bo to on posiada klucz na email, kiedy w unix time zostalo utworzone jego konto) jest dobrym pomyslem i nie będzie nikt o to robić problemów jak zobaczy na konczu tokenu swoją czas utworzenia konta w unix, ani czy to nie wpłynie na poziom bezpieczeństwa aplikacji

---

Doklejenie może zmniejszyć bezpieczeństwo. Gdy haker zna datę to będzie mu łatwiej złamać klucz. Upuść wodze wyobraźni i wymyśl jakiś algorytm przetwarzający czas np. ten wynik z mojego poprzedniego pomysłu to klucz z niego utwórz z 50 znaków z których pierwszy ma indeks jakiejś cyfry z czasu.

---

Ale tworzenie ciągu losowego na podstawie czasu to prawie to samo co hashowanie, wciąż istnieje możliwość wystąpienia kolizji.

Jaki klucz będzie łatwiej złamać jeśli kluczem są losowe bity?

$privateKey = bin2hex(random_bytes(25));

Myślę że w tym przypadku czas utworzenia go (bez mikro czasu, z dokładnością do sekundy) nie ma żadnego znaczenia mającego jakikolwiek wpływ.

---

Ten ciąg będzie przecież zawsze inny, odpowiednio skracany, mnożony. Zrób sobie tablicę np. z literami i losuj litery na podstawie czasu.

---

Masz do dyspozycji potężny PHP oraz swój umysł. Wymyśl algorytm który nigdy nie wygeneruje tego samego.