Jak hashować hasła?

Question

Nie ogarniam hashowania haseł, mógłby ktoś mi pokazać jakiś przykładowy skrypt, albo coś żebym wiedział jak się to robi. Tylko że nie wiem czy powinno się używać Md5 bo podobno nie jest to już bezpieczne. Może by tak SHA512 lub phpass. W sumie to próbowałem użyć i tego i tego ale nie wiem jak to wykorzystać, bo z zahashowaniem i dodaniem do bazy mi się udaje, ale już w drugą stronę nie idzie! :/

Answer 1

MD5, ani żadnych innych tego typu nie zdekodujesz inaczej niż słownikowo, bo nie do tego to służy. Po prostu kiedy sprawdzasz hasło od usera to haszujesz jego wejście i porównujesz obydwa zahashowane ciągi dopiero. W PHP-ie 5.5 zaleca się używanie tej funkcji do hashowania. http://php.net/manual/en/function.password-hash.php
Przykładowo jeśli założymy, że użytkownik już się zarejestrował i jego zahashowane hasło jest już w bazie no to skrypt logowania powinien wyglądać mniej więcej tak:

$con = new mysqli("host", "user", "pass", "db");
$inLog = addslashes($_POST['login']);
$inPass = password_hash(addslashes($_POST['passwd']), 8);
$sel = $con->query("SELECT count(1) AS ile FROM users WHERE login='$inLog' AND pass='$inPass'");

Ta cyferka, którą podajesz jako drugi argument tej funkcji to jest 'poziom szyfrowania'. Im większy tym dłużej trwa hashowanie.

Answer 2

Proponuję zaintersować się SHA1 + sól.

Answer 3

Czyste MD5 jest słabe - to fakt, ale przydaje się do wielu innych ciekawych rzeczy.

Niemniej zashashowane hasło jakimkolwiek algorytem może być np. SHA512 i dodatkowo jeszcze md5 :) zapisujesz w bazie.

Gdy odbierasz jasło z formularza logowania to przed wysłaniem zapytania do bazy o takie jasło musisz je znowu zhashować - wtedy masz dwa ciągi zhashowane do porówniania.

 

EDIT: Tutaj link do niemal identycznej dyskusji... https://forum.pasja-informatyki.pl/1893/haslo-w-md5-a-login-php?show=1893#q1893

Answer 4

A ja proponuje takie rozwiązanie :

http://zaufanatrzeciastrona.pl/post/jak-facebook-przechowuje-hasla-uzytkownikow/

 

$password = $mysqli->real_escape_string(trim(strip_tags($password)));
$password = md5($password);
$salt = substr(hash('sha512',rand(1,99999) . microtime()),0,64);
$password = sha1($password . $salt);
$password = hash('sha512',$password . $salt);