Eventuali duplicati:
Secure hash and salt for PHP passwordsUsername, Password, Salting, Encrypting, Hash - Come funziona tutto?
Iv'e letto un sacco di posti, sia in StackOverflow e altri siti web che parlano di sicurezza del web. Come la salatura della crittografia, ecc. E non sto ottenendo così una semplice spiegazione sarebbe davvero utile.
Quindi ecco quello che so finora. Un utente accede digitando nome utente e password. L'input quindi passa attraverso un processo. Diciamo che il nome utente e la password sono combinati come ad esempio:
$username = (USERS USERNAME INPUT);
$password = (USERS PASSWORD INPUT);
$userinput = $username . $password;
Quindi aggiungiamo un po 'di sale.
$salt1 = "13$13aVc!kd";
$salt2 = "4kr$!vlmeoc";
$salted = $salt1 . $userinput . $salt2;
Quindi lo crittografiamo.
$encrypted = encrypt($salted);
Poi verificare con il database e se il suo diritto utente viene connesso.
è così che funziona a destra? Ma ho letto di un attacco di forza bruta. Indovina i valori di input giusto? Con la procedura sopra. Non mostra che l'hacker ha solo bisogno di ottenere le informazioni $ userinput corrette per entrare? Non ha bisogno di indovinare la lunga stringa $ cifrata corretta?
Nota: diciamo che in questa situazione non c'è captcha, nessun limite di tentativi, nessun blocco, nient'altro che quello sopra.
Nota: Sii gentile, sto ancora imparando.
Ecco perché gli utenti si consiglia di utilizzare password complessa invece di "12345", ma la forza bruta è possibile nello scenario .. – Deadlock
così il sale e la crittografia è inutile? –
Un po ', ma la data di pubblicazione se il dirottamento intermedio non sarà di alcuna utilità per i dirottatori poiché sarà in una stringa crittografata e non può essere annullato finché non ha un valore di sale. – Deadlock