J'essaye de nettoyer certaines connexions API qui sont actuellement en texte brut.Méthodes Salt Password Decypt
Ma pensée actuelle est de mettre le mot de passe à travers un générateur comme - md5hashgenerator.com Je voudrais s'assurer que son SHA1.
Je définirais alors le hachage comme une variable, mais quelle est la bonne façon de faire le décryptage?
MISE À JOUR:
Ce lien est très utile dans la compréhension des cas d'utilisation pour les algorithmes de hachage & algorithmes de chiffrement. Fundamental difference between Hashing and Encryption algorithms "Utilisez une fonction de hachage lorsque vous souhaitez comparer une valeur mais ne pouvez pas stocker la représentation en clair (pour un certain nombre de raisons) .Les mots de passe doivent très bien convenir à ce cas car vous ne souhaitez pas les stocker. texte pour des raisons de sécurité (et ne devrait pas l'être) "
" Utilisez le cryptage lorsque vous avez besoin de récupérer les données d'entrée, notez le mot "besoin", si vous stockez des numéros de carte de crédit, vous devez les récupérer. à un moment donné, mais ne voulez pas les stocker en texte brut, gardez plutôt la version cryptée et gardez la clé aussi sûre que possible.
Comme les commentaires le mentionnent, les hachages de type md5 et sha1 ne sont plus sécurisés. Utilisez les fonctions de hachage de mot de passe intégrées de php. Vous pouvez lire à leur sujet ici http://php.net/manual/en/book.password.php particulièrement password_hash() & password_verify()
Un exemple d'utilisation pour password_verify:
// grab hashed pass from db - to compare against - then perform password_verify() method
if (password_verify($inputPassword, $dbPass)) {
// success
}
où $inputPassword est le mot de passe de texte brut est entré dans le formulaire de connexion.
et
$hash = password_hash($inputPassword, PASSWORD_BCRYPT);
Ceci est un commentaire glorifié, avec des liens purement. Après tout cela, vous suggérez une méthode de hachage des mots de passe ** dangereuse .... – Nytrix
* Encore une fois, ne ** pas ** utiliser 'md5()' pour le mot de passe de hachage. **Pas sécurisé! – Nytrix
pourriez-vous expliquer plus en détail? – Inkdot
un exemple d'utilisation de password_hash() Pourquoi ne pas utiliser 'password_hash()'? Comme "SHA1" n'est plus ** sécurisé **, vous pouvez le lire [ici] (https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1). Vous pourriez aussi bien utiliser les fonctions intégrées – Nytrix
@Nytrix Je n'ai pas de connexion, etc tout est fait en arrière-plan et pas de base de données - Ce sont des connexions pour Curl –
* Sooo .. *? Si c'est dans 'php' vous pouvez utiliser la fonction' password_hash() 'et' password_verify() '. C'est la méthode la plus sûre ** et ** vraiment facile à utiliser. – Nytrix