Как расшифровать пароль, зная соль и метод шифрования?

Question

[Данил Сысоев]

Приветствую, друзья. В общем встал такой вопрос. Есть функция, которая генерирует пароль:

function GenPass ($p1, $p2) {
	return md5('соль'.md5('соль'.$p1.'соль').md5('соль'.$p2.'соль'));
}

Но этот пароль необходимо привести к первоначальному виду, так как с помощью этого пароля будет проходить авторизация на стороннем ресурсе.
Скажите, можно ли вообще такое сделать, если нет, то как правильно поступить в моей ситуации.
Заранее благодарен за ответ.

Comments

[riot26]

не по теме:
так хранить пароли не стоит

[Данил Сысоев]

riot26: А как это сейчас делается? Видимо я сильно отстаю от новшеств)

[riot26]

Данил Сысоев: о MD5 надо забыть. Полностью. И о SHA1 так же. На сайте PHP всё подробно описано: https://secure.php.net/manual/ru/faq.passwords.php

[Данил Сысоев]

Спасибо большое) Приступаю к ознакомлению)

Answer 1

[DevMan]

никак: хеши не расшифровываются. можно только упорно подбирать пароль, который даст такой же хеш.

если нужен пароль, то хранить его нужно в явном виде зашифрованным, а не в виде хеша.

Comments

[Данил Сысоев]

Хм... понял. Но в первоначальном виде - не вариант хранить пароли. Может попробовать другие методы шифрования без хэша? Или бесплодная затея?

[DevMan]

если нужен пароль для использования на стороне, то он должен быть доступен в явном виде, без вариантов.
а как вы его будете хранить (открыто/шифровать/etc) - это лично ваше дело.

[Alexandr]

Или можно реализовать API, через которое будет проходить авторизация

[DevMan]

Deexter: можно что угодно. только все равно где-то должен быть пароль в явном виде.

[Alexandr]

DevMan: Оно будет работать не на отдачу пароля, а будет проверять пароль по своему алгоритму, и отдавать ответ "авторизация прошла"

[DevMan]

Deexter: по какому своему алгоритму? вопрос читался?
> так как с помощью этого пароля будет проходить авторизация на стороннем ресурсе

[Alexandr]

DevMan: вот он алгоритм: return md5('соль'.md5('соль'.$p1.'соль').md5('соль'.$p2.'соль'));
сторонний ресурс отправляет нам запрос(через API) "проверьте пароль", мы его модифицируем с помощью алгоритма и сверяем с тем что в базе, если совпадает отправляем "авторизация пройдена, разрешено это... это... и вот это...."

[DevMan]

Deexter: ты реально не понимаешь о чем речь?
автор открытым текстом пишет "с помощью этого пароля будет проходить авторизация на стороннем ресурсе".
это значет что я с этим паролем должен залогиниться, например, в своем банке и отправить/получить инфу.
а не ту ересь, которую ты здесь пишешь.

[Alexandr]

DevMan: Это не ересь, а как раз то что ты описал: вводиш пароль -> твой банк отправляет на проверку на сервис где хранится хеш(читай вводит пароль на нашем сервисе)

[DevMan]

Deexter: пойди уговори свой банк это делать, затем вернись и расскажи как успехи.
для тех кто в бронепоезде: сторонний ресурс - это ресурс, которым ты никак не управляешь и который срать хотел на твои хотелки.

[Alexandr]

DevMan: Я просто предлагаю вариант как обойти ситуацию с зашифрованным паролем, решать вопросы по интеграции со сторонним ресурсом(который срать хотел) дело топикстартера. А что касается банков, то можно запросить готовое решение по интеграции, и под него подогнать, у них обычно есть готовые варианты, используемые для эквайринга к примеру.

[DevMan]

Deexter: > Я просто предлагаю вариант как обойти ситуацию с зашифрованным паролем
если сторонний вариант озаботился интеграцией, то он выдает ключи/разовые пароли/api-кеи/etc и это все описано у них в документации, либо дает тебе логин/пароль и парься как хочешь.

фантазировать конечно же хорошо, но таких фантазий я не разделяю.

[Alexandr]

DevMan: С вами согласен, решать заморачиваться этим или нет нужно в зависимости от возможной выгоды\убытков.

Answer 2

[xmoonlight]

Как расшифровать пароль, зная соль и метод шифрования?

return md5('соль'.md5('соль'.$p1.'соль').md5('соль'.$p2.'соль'));

Возможно вы имели ввиду: "Как расшифровать пароль, зная соль и метод хеширования?"
Ответ: никак.

Единственный вариант: захватить пароль при проверке ДО его хеширования (для проверки с этим хешем по приведённой вами формуле) и, если он верный, - добавить "на лету" рядом запись в БД с ШИФРОВАННЫМ паролем.

Answer 3

[Alexandr]

А зачем вам расшифровывать? На другом ресурсе проверяйте учетные данные тем же способом по той же базе.

Comments

[Данил Сысоев]

Хех, если бы другой ресурс тоже был бы моим, то так и сделал бы =)