Zobacz temat
Automatyczne przekonwertowanie hasła z sha256 na md5
|
|
Imrahil |
Dodany dnia 13.09.2011 15:04:19
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Witam. Chciałbym zmienić sposób szyfrowania haseł z sha256 na md5. W chwili obecnej ustawiłem "domyślne" szyfrowanie właśnie na md5. Zauważyłem, że hasła, które wcześniej były w sha256 teraz szyfrują się na md5, ale tylko dla uzytkowników, którzy się przynajmniej raz zalogowali od wprowadzenia ów zmiany. Moje pytanie dotyczy tego, jak wywołać "automatyczne" przekonwertowanie wszystkich haseł z sha256 na md5 bez konieczności czekania na zalogowanie każdego z uzytkowników. Z góry dziękuję za odpowiedź. PW od moderatora:
|
|
|
Wścibski Gość |
Dodany dnia 23.12.2024 14:24:49
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
khaman |
Dodany dnia 13.09.2011 18:44:20
|
Postów: 2508 Pomógł: 78 Data rejestracji: 26.06.2007 12:11 |
Oczywiście szukałeś http://www.php-fu...ype=forums i to nie jest to o co chodzi? Jeśli chodzi o automatyczną zmianę kodowania to proszę to wyraźnie zaznaczyć w nazwie tematu. Poza tym od propozycji jest dział Propozycje. Posty pomocne oznaczaj jako pomógł Nie pomagam na PW/GG | Brak stopki = brak pomocy
|
|
|
Imrahil |
Dodany dnia 13.09.2011 20:07:01
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Oczywiście, że szukałem w Szukajce. Nie ma tam odpowiedzi na moje pytanie. Chodzi generalnie to, że mam w chwili obecnej kilkuset uzytkowników, którzy mają hasła zapisane w sha256. Musiałbym teraz czekać, aż każdy z nich się zaloguje, żeby te hasła przestwiły się z sha256 na md5. Chciałbym tę operację jakoś wywołać w sposób automatyczny.
|
|
|
Imrahil |
Dodany dnia 13.09.2011 21:34:26
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Nie. Po zalogowaniu hasła po prostu same się przekonwertowują z sha256 na md5.
|
|
|
kefirek |
Dodany dnia 13.09.2011 21:47:04
|
Zaawansowany Postów: 1191 Pomógł: 418 Ostrzeżeń: 1 v6.00.xxx Data rejestracji: 06.04.2008 21:59 |
Raczej jest to nie do zrealizowania bo jak chcesz odkodować hasła a potem zakodować ja za pomocą md5? Co innego przy logowaniu jeśli user poda prawidłowe hasło i będzie się zgadzać z sha256 to koduje je na md5 i zmienia w bazie. |
|
|
Imrahil |
Dodany dnia 13.09.2011 21:50:58
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Eh, zresztą jak już udałoby się to zrobić, to i tak pozostaje jeszcze problem tego całego "salt"... Trochę lipa, bo wręcz na gwałt potrzebuję przekonwertowania na MD5 ;/
Edytowane przez Pieka dnia 13.09.2011 22:59:38 |
|
|
bartek124 |
Dodany dnia 14.09.2011 14:51:29
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
Nie będzie problemu. Nie zrobisz tego z lotu wszystkim userom w bazie, ponieważ wymaga to zalogowania każdego usera. Mówiąc prościej, żeby zmienić hash trzeba znać niezakodowane hasło, a tylko user zna swoje. Przy logowaniu dodajesz rozpoznawanie, czy user ma md5 czy sha, jeśli sha, logujesz go za pomocą sha, zmieniasz na md5 u usera, sha usuwasz i przy następnym logowaniu user korzysta już z md5.
|
|
|
Imrahil |
Dodany dnia 14.09.2011 21:27:25
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Tak, ale musze czekać, aż Ci wszyscy userzy się zalogują. Ale okej, powiedzmy, że nie musze tego mieć na wczoraj, ale na za dwa tygodnie. Tylko kłopot jest jeszcze w tym, że te hasła są chyba szyfrowane podwójnie. W końcu do czegoś służy kolumna "salt" w bazie danych MySQL w PHP-Fusion. Jakiś pomysł na ten problem?
Edytowane przez Imrahil dnia 15.09.2011 00:59:58 |
|
|
bartek124 |
Dodany dnia 15.09.2011 07:07:29
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
Ale to nie ma znaczenia, jeśli user poda surowe hasło. Ty z nim możesz wtedy robić co Ci sie żywnie podoba.
|
|
|
Imrahil |
Dodany dnia 15.09.2011 07:59:42
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Nie bardzo rozumiem. No ok, user poda swoje hasło i "przekonwertuje" się z sha256 na md5, ale jest jeszcze "salt", więc defacto nie mam tego hasła. Już to sprawdzałem i ani w kolumnie "user_salt" ani w "user_password" nie ma tego właściwego hash'a. Powiedzmy, że hasło brzmi "admin". W takiej sytuacji ani w kolumnie "user_salt" ani w "user_password" nie ma hasha "21232f297a57a5a743894a0e4a801fc3", tylko jakieś inne. |
|
|
bartek124 |
Dodany dnia 15.09.2011 08:22:22
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
Poczytaj, co to jest solenie haseł ;) http://pl.wikiped...ptografia) Ty nigdzie nie masz mieć tego hasła. Masz mieć jego hash. Powiedzmy że w salt masz wartość "1234". Hasło to "abcd" w sha. Przy logowaniu, jesli user wpisze hasło abcd, sprawdzane jest ono w ten sposób: Sól dodawana jest przed lub po hasle, obojętne. Ma ono w każdym razie zmienic hash, zeby nie był bezposrednio hashem samego hasła. Prosty hack na sprawdzenie, którzy userzy mają taki sam login i hasło: W przypadku zastosowania soli, takie zapytanie nie da żadnych wyników. |
|
|
Imrahil |
Dodany dnia 15.09.2011 10:01:41
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
No ok, ale ja w takim razie nadal nie mam hash'a samego hasła, tylko hash hasła "posolonego" o ile dobrze rozumiem.
|
|
|
bartek124 |
Dodany dnia 15.09.2011 13:39:38
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
A po co Ci sam hash? Co z nim chcesz zrobić?
|
|
|
Imrahil |
Dodany dnia 15.09.2011 14:25:38
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Powiem wprost. Chcę przenieść mój serwis z PHP-Fusion na Joomlę. Jednakże Joomla nie ma tego całego "solenia", więc muszę jakoś to wyłączyć. Da się to w ogóle zrobić?
|
|
|
bartek124 |
Dodany dnia 15.09.2011 15:33:10
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
Więc wracamy do postu #8 w tym temacie.
|
|
|
Imrahil |
Dodany dnia 15.09.2011 17:29:49
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Cały czas nie rozumiem. Zmieniłem już szyfrowanie z sha na md5 i faktycznie, po logowaniu uzytkownikom zmienia się szyfrowanie na md5. Jednakże hash, do którego mam wgląd jest "posolony", więc nic mi to nie daje... Pytanie zatem, czy da się wyłączyć "solenie". Edytowane przez Imrahil dnia 15.09.2011 23:17:25 |
|
|
bartek124 |
Dodany dnia 19.09.2011 08:37:16
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
To zależy jak zmodyfikujesz logowanie. Słuchaj, tutaj możesz działać jak chcesz i robić co chcesz, hasło jest sprawdzane tylko w kilku sytuacjach i tak ma byc dla bezpieczeństwa. Logowanie/zmiana hasła/wysłanie nowego. Jakkolwiek skombinujesz, to ma działać. Edytowane przez Drecha dnia 19.09.2011 19:04:21 |
|
|
Imrahil |
Dodany dnia 19.09.2011 13:08:35
|
Początkujący Postów: 168 Ostrzeżeń: 3 Data rejestracji: 10.09.2007 18:50 |
Hmmm. Z tego co piszesz wynika, że da się wyłączyć "solenie", tylko trzeba zmodyfikować logowanie. Tylko nie wiem gdzie to zmodyfikować. Czy zrobię to z poziomu PA, czy muszę grzebać w kodzie?
|
|
Przejdź do forum: |