Как шифруются пароли md5?

Question

[lemonlimelike]

Правильно ли я понимаю алгоритм действий?
При регистрации пользователь вводит пароль к примеру 123, он шифруется в md5. Далее, при авторизации пользователь вводит пароль 123, пароль опять же шифруется и делается проверка в бд на существования этого шифра? Т.е. при регистрации и авторизации у пароля 123 шифр будет такой же?

Comments

[Павел Корнилов]

Да, все верно. Но при использовании HTTP передачи данных пароль идет до сервера в незашифрованном виде. Этот момент в этой цепочке - самое узкое место. Есть костыли по типу SALT, но проблему решает только HTTPS.

[devalone]

Для начала не стоит путать шифрование и хеширование, md5 - хеширование, разница в том, что шифрованное восстанавливается, а хешированное в теории да, но на практике нет(перебором разве что).

[devalone]

KorniloFF,

Да, все верно. Но при использовании HTTP передачи данных пароль идет до сервера в незашифрованном виде. Этот момент в этой цепочке - самое узкое место. Есть костыли по типу SALT, но проблему решает только HTTPS.

Соль делается не для того, чтобы пароль не украл чувак по середине, а для того, чтобы по украденной базе было сложнее восстановить пароли.

[Павел Корнилов]

devalone, да, потому что сервер передает ключ для шифрования данных. И не важно, пароль это или еще что. По этому же ключу на сервере дешифровка идет.

[devalone]

KorniloFF, вопрос вообще не про https и не про шифрование, а про md5, а это алгоритм хеширования.

[Павел Корнилов]

devalone, а вы видите мой ответ? Я лишь комментировал.
Прежде, чем делать замечание, убедитесь в его правомерности.

Answer 1

[alex stephen]

Понимаете все правильно, вот только MD5 использовать для паролей небезопасно.
Используйте mcrypt

Comments

[DevMan]

1 пароли как правило хешируют, а не шифруют.
2 мкрипт уже в деприкейте.

[lemonlimelike]

DevMan, А можно сделать свой алгоритм шифрования? И как это сделать(вкратце если можно)?

[jasonOk]

lemonlimelike, не занимайтесь чепухой

Answer 2

[Александр Вульф]

Да, все верно. Но советую использовать соль. А лучше использовать другие алгоритмы. Такие как blowfish.
В таком случае хеш будет каждый раз разный. Для того, чтобы проверить совпадение нужно будет по логину (эмейлу) получить пользователя, а затем уже работать с его паролем.

Comments

[Евгений Калибров]

Скачать пользователя по логину (эмейлу)? Чтооо?

[Александр Вульф]

rework, перефразировал)

[lemonlimelike]

Александр Вульф, А можно сделать свой алгоритм шифрования? И как это сделать(вкратце если можно)?

[Илья Белобородов]

lemonlimelike,

<?php

$password = '123';
$salt = 'my secret key';

$hash = md5($password.$salt);

чем вам не свой алгоритм? ))

Answer 3

[Дмитрий Дарт]

Да всё верно вы понимаете одна и та же строка при md5() даст всегда один и тот же результат md5('вася') === md5('вася') далее применяется соль что бы по таблицам легко пароли не подобрать, но сейчас md5 признан небезопасным и на смену ему пришли другие методы хеширования, например sha256 а для паролей там не хеширование а шифрование в т.ч. применяется

Comments

[lemonlimelike]

А можно сделать свой алгоритм шифрования? И как это сделать(вкратце если можно)?

[Дмитрий Дарт]

lemonlimelike, можно сделать свой, я на память не помню алгоритмы хеширования, это надо читать, на php есть сторонние бибилиотеки для шифрования

Answer 4

[Dmitry MiksIr]

Нет, не так. Вот как:

При регистрации пользователь вводит пароль к примеру 123, он хешируется через password_hash. Далее, при аутентификации пользователь вводит пароль 123, из базы по логину достается сохраненный хеш, и проверяется через password_verify.