Criptare le Password postato il 29/08/2010 12:00:55 nel forum leggi e legalità e modificato da nodd il 29/08/2010 12:02:43
Buon giorno a tutti :-D.
Come alcuni sanno sto programmando una mia land(che aprirà si spera entro settembre)e dato che vorrei aderire al progetto PDl mi sono soffermato sulla Criptazione della Password.
In poche parole per un gestore sarebbe ottimo che nel database non si salvasse la PASSWORD del personaggio, ma ben si la PASSWORD criptata così che il gestore se la password stranamente viene "rubata" o "smarrita" se ne lava le mani e al massimo può cambiarla.
Il mio gdr si basa su codice PHP ed ora che girovagavo un po sul web ho notato dei metodi di criptazione di strighe di codice come:
sha1() e md5()...
Ora il mio problema sta:
Quando un personaggio si registra o modifica o recupera la password quest'ultima verrà sempre (esempio) criptata tipo md5(md5(md5(sha1(md5($pass))))); (ahahah come fai a sgamarla sta passw xD)
Ora,tipo,quando verrà spedita la passw all'e-mail...
Quest'ultima dovrà essere visualizzata CRIPTATA o la PASSWORD normale?...
Intendo,la passw viene spedita così come generata,ma nel database viene salvata criptata.
Poi nel login,si fa il confronto.
if(md5(md5(md5(sha1(md5($pass_inserita))))) == $pass_database){
ok
}else{
non ok!
}
o nell'e-mail spedita la password dovrà essere già criptata?...
Ho le idee un po confuse a riguardo...>.<...
Grazie x le delucidazioni che mi darete :-D
Nando
Pagine → 1
29/08/2010 12:25:15
Non puois pedire la password criptata, perché non servirebbe a nulla.
Il sistema di criptazione prevede che uno inserisca una password, ma che venda registrata la versione criptata della stessa e basta.
Dalla versione criptata non si può risalire alla password, ma ogni password, criptata sempre con lo stesso metodo, ha una unica versione criptata. Quindi ogni volta che l'utente digita la password per il log in, il portale cripterà la password digitata e la confronterà appunto con la versione criptata che ha in memoria. Se sono uguali, le password sono sicuramente uguali. Se sono diverse, le password sono sicuramente diverse.
L'unico vantaggio è che nessuno può conoscere la vera password, ma al massimo chi ti entrasse truffaldinamente nel database troverebbe solo la versione criptata della stessa.
Usare la versione criptata per il log in è inutile, perché come già detto al log in si cripta quanto inserito, quindi cripterebbe la criptata, ottenendo qualcosa di diverso ed invalido.
Ovviamente tutto ciò a prescindere da crackers di sorta.
Se vuoi far generare la password ina utomatico al sistema, devi generare la password, criptarla, registrare in database la versione criptata e poi inviare la password (non la versione criptata) all'utente, senza però salvare la password nel database.
Se l'utente perde la mail, dovrà richiedere una nuova password.
(Posmessa: veri programmatori mi smentiscano se ho detto una cavolata, cosa che può sempre accadere)
29/08/2010 13:10:37
tutto corretto quanto detto sopra, solo un piccolo consiglio all'autore del topic:
criptare una pass multiple vole con algoritmi come md5 o sha-1 come hai scritto tipo:
md5(md5(md5(sha1(md5($pass)))));
non è una sicurezza maggiore per la pass, un mio consiglio sarebbe ricorrere ad un algoritmo di pass più sicuro come lo sha512 con la funzione: hash(sha512,$pass);
Da quello che so lo sha512 non mi sembra sia ancora stato bucato e al massimo se vuoi aumentare proprio la sicurezza puoi concatenare alla pass un "salt" (per vedere che cosa è un salt ti basta una piccola ricerca su google) per renderla più sicura.
29/08/2010 14:49:53
Mmmh...cpt!!!...
Vbb ora vedo^^..L'intoppo stava proprio nel fatto di inviare o no la passw criptata via e.mail...
però mi sorge un dubbio <.<...
Come fà tipo gemini ad accorgersene che il sito usa un sistema di criptazione della passw?
29/08/2010 15:08:57
Non devi aderire al progetto legalità per far felice gemini XD
Devi aderirci per avere un prodotto più sicuro e più "corretto".
Non posso sapere se la password è registrata criptata, ma di sicuro in svariati modi posso accorgermi se NON lo è.
Ieri mi sono registrata ad un gdr. Nella scheda pg mi diceva qual'era la mia password sopra al tasto "Modifica". Di sicuro so che non è criptata.
29/08/2010 15:17:06
certo che non lo faccio per gemini,ma ovviamente x la land e x l'utenza^_^...
Il dubbio mo mi veniva sul fatto come gemini potesse accorgersene della criptazione della pass^^....(per il pallino verde in quel determinato punto del PDL)
Discussione seguita da
Pagine → 1
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Leggi e Legalità Elenco Forum
I dati del generatore di rank sono stati aggiornati!
Ex Gratia GDR: Nuova Entità: Sun Wukong!
CRSED: F.O.A.D. → Brutale sparatutto MMO in cui vince l'ultimo giocatore che resta in vita nell'arena! Ogni giocatore sarà accompagnato da armi realistiche e magie!
Nyx Insight - Project S.E.T.: Comunicazione del Rettorato - Gli Sport arrivano
black sails chronicles si è accreditato come gestore di Black Sails Chronicles
Nuovo Play by Chat Fantasy → Black Sails Chronicles
Crossout → Tuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!
Entropia Universe: Crafting Mania!
Ex Gratia GDR: Traumi e dove trovarne...
pyro72 ha recensito Crash Bandicoot Zone
blackmirror ha recensito Apocalypse Requiem: Detroit
Storie di Agarthi → Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, inizia l'avventura!
Dissendium Draconis: Modifiche e Implementazioni: Pozioni
Le Cronache di Raja Dunia: Il Vuoto ed i suoi Principi Demoniaci
masters league si è accreditato come gestore di Masters League
Ex Gratia GDR: Nuova Entità: Ichirei!
Storie di Agarthi → Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, inizia l'avventura!
Province Italiane - Scopriamo assieme la provenienza dei visitatori del portale per capire dove vivono i giocatori italiani
Scacchi Tridimensionali - Progetto e Sviluppo di un Sistema per il Gioco degli Scacchi Tridimensionali
Origini Magia - Le Origini della Magia: Dall’Antico Egitto ai Druidi Celtici!
Crystal Tokyo - Crystal Tokyo una land per scrittori? Scopriamolo con l'articolo di Tersycore..
Romance GDR - Come gestire incontri romantici nei giochi di ruolo?
Vendite GdR - La classifica dei giochi di ruolo cartacei più venduti di sempre!
Saigo no Densetsu - Intervista al gestore del play by forum manga Saigo no Densetsu - La Leggenda del Momento Finale GDR
Reami Dimenticati - Recensione del gdr ad ambientazione Dungeons and Dragons Reami Dimenticati
Entropia Universe ↗
.png){kind=avatar}
Seconda Era ↗
Sea of Conquest ↗
