Chirurgia endoscopică a hipofizei
"Standardul de aur" în chirurgia hipofizară îl reprezintă endoscopia transnazală transsfenoidală. Echipa NeuroHope este antrenată în unul din cele mai mari centre de chirurgie a hipofizei din Europa, Spitalul Foch din Paris, centrul în care a fost introdus pentru prima dată endoscopul în chirurgia transnazală a hipofizei, de către neurochirurgul francez Guiot. Pe lângă tumorile cu origine hipofizară, prin tehnicile endoscopice transnazale pot fi abordate numeroase alte patologii neurochirurgicale. www.neurohope.ro |
Stocarea parolelor: mai este md5 + salt o soluție safe în 2016?
Last Updated: Aug 24 2016 21:04, Started by
sftpdt
, Aug 18 2016 10:05
·
0
#1
Posted 18 August 2016 - 10:05
Salut. Până acum stocam parolele în baza de date după modelul celor de la invision power (care am auzit că au schimbat procedura până de curând):
$hash = md5(md5($password) . md5($salt)); Cineva mi-a zis să mai adaug artificii pe acolo gen for($it = 1; $it <= 1000; $it++) { $hash = md5(sha1($hash . md5($salt))); } sau altele. E mai ok aşa? Eu mă gândeam să trec pe password_hash. Edited by sftpdt, 18 August 2016 - 10:27. |
#2
Posted 18 August 2016 - 12:33
md5 nu mai e sigur de ceva ani Toata lumea a trecut initial pe sha1 Apoi , folosind extensia openssl , pe sha256, sha512 ...
|
#3
Posted 18 August 2016 - 16:15
sceptic_schizo, on 18 august 2016 - 12:33, said:
md5 nu mai e sigur de ceva ani Toata lumea a trecut initial pe sha1 Apoi , folosind extensia openssl , pe sha256, sha512 ... Initiatorul si-a raspuns singur, intr-adevar password-hash este inclus in PHP 5.5+ si este cea mai buna solutie (daca e folosit corect). |
#5
Posted 18 August 2016 - 19:20
E insecure la modul ca e foarte usor de calculat, putand baga relativ usor brute force daca cineva iti afla toate hashurile din baza de date.
Aici explica frumos ce e recomandat si ce nu. Ramane desigur si intrebarea: iti permite hostul sa procesezi vreo secunda pana validezi o parola? |
#6
Posted 18 August 2016 - 19:32
Cred ca intrebarea cea mai buna este ce sait faci si cui i se adreseaza. Oricum marea majoritate a parolelor sint sparte pentru ca userii sint oligofreni si pun parola "parola", nicidecum pentru ca un haXX0r a penetrat sistemul, a furat baza de date si a descifrat parolele folosind dracu stie ce instrumente complicate...
|
#7
Posted 19 August 2016 - 19:47
Mosotti, on 18 august 2016 - 19:32, said:
Cred ca intrebarea cea mai buna este ce sait faci si cui i se adreseaza. Oricum marea majoritate a parolelor sint sparte pentru ca userii sint oligofreni si pun parola "parola", nicidecum pentru ca un haXX0r a penetrat sistemul, a furat baza de date si a descifrat parolele folosind dracu stie ce instrumente complicate... Mai degraba sa puna un validator (calcul entropie etc) La subiect: SHA 256 si superior (si asta, de multi ani, cel putin 9, din cate mi-aduc aminte, cand ma ocupam mai intens de chestii d-astea) Useri cu parola = 'parola' vei avea peste tot, nu mai stau sa caut dar undeva intre 20 si 70%, in functie de industrie. Si useri care dau parola "pe o ciocolata". Daca Snowden si-a pacalit colegii (din NSA) sa le dea parola, va dati seama... Edited by aaaa4567, 19 August 2016 - 19:50. |
#8
Posted 22 August 2016 - 17:54
#9
Posted 22 August 2016 - 19:54
Mosotti, on 18 august 2016 - 19:32, said:
Cred ca intrebarea cea mai buna este ce sait faci si cui i se adreseaza. Oricum marea majoritate a parolelor sint sparte pentru ca userii sint oligofreni si pun parola "parola", nicidecum pentru ca un haXX0r a penetrat sistemul, a furat baza de date si a descifrat parolele folosind dracu stie ce instrumente complicate... Ce spui ar fi valabil doar pt cate un user ici si colo, nu pt a compromite un intreg sistem (cum a fost cazul linkedin sa spunem, care nu folosea salt) |
#10
Posted 22 August 2016 - 21:04
aaaa4567, on 19 august 2016 - 19:47, said:
Salt-ul ala tocmai in intentia asta e folosit (protejare suplimentare impotriva parolelor banale si attackurilor brute force/rainbow - nu mai caut acum). Dar ma rog, ai dreptate. Mai degraba sa puna un validator (calcul entropie etc) La subiect: SHA 256 si superior (si asta, de multi ani, cel putin 9, din cate mi-aduc aminte, cand ma ocupam mai intens de chestii d-astea) Ce e interesant ca desi raspunsul corect a fost dat, tot sint multi care il ignora si ii tot dau cu SHA256/512 bcrypt, scrypt, PBKDF2 si altii asemenea sint singurii care sint creati pt password hash (au un cost de timp) Din nou, password_hash are grija de asta pt tine (foloseste bcrypt/blowfish) si nu ai nevoie sa te incurci in lucruri pe care nu le stii/intelegi perfect (tot ce tine de securitate si criptografie e bine sa fie lasat pe seama specialistilor). |
|
#11
Posted 24 August 2016 - 19:05
Postez aici ca si necunoscator
Nu ar fi mai ok sa faci tu propriul algoritm de criptare? De exemplu primele 'x' caractere sa le muti 'z' bit la dreapta, iar urmatoarele 't' cu 'y' biti la stanga si tot asa. Dupa le faci o alta grupare si pe fiecare grupa aplici cate o operatie matematica si tot felu de artificii. Edited by raul1ro, 24 August 2016 - 19:05. |
#12
Posted 24 August 2016 - 21:04
Deloc. Te apuci sa faci propriul algoritm si obtii ceva penibil de spart. Sa criptezi/hashui ceva in mod sigur e mult mai complicat decat pare.
Edited by dani.user, 24 August 2016 - 21:08. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users