PHP - automatiskt skapande av lösenord

Citera flera Citera

2016-12-11 15:42

inquam

Medlem ★

Plats: Karlskrona
Registrerad: Aug 2009

●

Det är ju bara att fånga det innan du krypterar det?

Visa signatur

Huvudriggen är en Gigabyte Aorus Xtreme | 128gb DDR5 6000 | Ryzen 7950X | 3080Ti
Utöver det är det för många datorer, boxar och servar för att lista :P

Citera flera Citera

2016-12-11 15:53

Raphaei

Medlem ★

Plats: Umeå -> Nordmaling
Registrerad: Jul 2007

●

I efterhand, nej.

Är lösenorden krypterade är det inte praktiskt möjligt, och alla sidor som erbjuder möjligheten att skicka ut glömt lösenord sparar lösenorden i klartext och du bör byta lösenord på dessa sidor innan du omedelbart avslutar ditt medlemskap.

Som inquam nämnde kan du skicka ut användarnamn och lösenord när kontot skapas, innan du krypterar och sparar informationen. Efter detta rekommenderar jag att glömt lösenord fixas genom att generera ett nytt temporärt lösenord och maila ut den, och sedan spara det nya lösenordet krypterat.

Citera flera Citera

2016-12-11 18:44

Teknocide

Medlem ★

Registrerad: Sep 2007

●

Skrivet av Christley:

jag står inför ett dilemma jag inte vet hur jag ska lösa det.
jag ska kunna läsa in en lista på X antal personer med namn, email etc. samtidigt vill jag att det skapas lösenord till de kontonen. lösenorden ska inte skickas ut direkt till användarna utan det ska skickas ut när gruppen jag laddar upp ska få tillgång.
eftersom jag krypterar lösenorden med en 1-way encryption så vet jag omöjligt vad lösenorden är i klartext.

har ni några tips på hur jag kan skicka ut lösenorden till personerna i efterhand utan att äventyra säkerheten?

Skrivet av Raphaei:

I efterhand, nej.

Är lösenorden krypterade är det inte praktiskt möjligt, och alla sidor som erbjuder möjligheten att skicka ut glömt lösenord sparar lösenorden i klartext och du bör byta lösenord på dessa sidor innan du omedelbart avslutar ditt medlemskap.

Som inquam nämnde kan du skicka ut användarnamn och lösenord när kontot skapas, innan du krypterar och sparar informationen. Efter detta rekommenderar jag att glömt lösenord fixas genom att generera ett nytt temporärt lösenord och maila ut den, och sedan spara det nya lösenordet krypterat.

En smidig variant av detta är att du skickar ut en engångsnyckel som tillåter en användare att ändra sitt lösenord. Generera en unik länk som skickas till användarens epostadress. Länken leder till en sida där användaren anger sitt önskade lösenord, som sedan sparas direkt i databasen. Samma tjänst kan användas för att låta användare återställa sitt lösenord.

Visa signatur

Kom-pa-TI-bilitet

Citera flera Citera (2)

2016-12-11 19:14

anon148425

Inaktiv

Registrerad: Mar 2010

●

Är det en skoluppgift?

Citera flera Citera

2016-12-11 19:28

Christley

Medlem ★

Plats: Stockholm
Registrerad: Maj 2009

●

Skrivet av studiox_swe:

Är det en skoluppgift?

inte gått i skolan på 6 år så nej

Skrivet av inquam:

Det är ju bara att fånga det innan du krypterar det?

"...utan att äventyra säkerheten?"
då har jag ju alltså det i klartext. vilket är det jag vill undvika att ha.

Skrivet av Teknocide:

En smidig variant av detta är att du skickar ut en engångsnyckel som tillåter en användare att ändra sitt lösenord. Generera en unik länk som skickas till användarens epostadress. Länken leder till en sida där användaren anger sitt önskade lösenord, som sedan sparas direkt i databasen. Samma tjänst kan användas för att låta användare återställa sitt lösenord.

det lät som en smidig lösning. ska försöka mig på den

Visa signatur

Citera flera Citera

2016-12-12 08:46

inquam

Medlem ★

Plats: Karlskrona
Registrerad: Aug 2009

●

Skrivet av Christley:

inte gått i skolan på 6 år så nej

"...utan att äventyra säkerheten?"
då har jag ju alltså det i klartext. vilket är det jag vill undvika att ha.

det lät som en smidig lösning. ska försöka mig på den

Men du kan inte käka kakan och ha kvar den. Det säger sig självt att du inte kan ha kvar lösenordet, utan att ha kvar lösenordet. Om du ändå tänker maila ut det så är ju säkerhetstänket redan naggat i kanten. Om du inte gör detta i krypterade mail dvs. Antingen får väll användare själva skapa ett nytt lösen första gången de signar in (och kan då använda sitt gamla om de vill) eller så tvingas du att lagra deras gamla. Det bästa du i så fall kan göra är att fokusera på hur och vart du sparar dem så länge.

Personligen hade jag skapat profiler för alkla existerande användare och skickat uyt mail med en aktiveringslänk/kod. När de loggar in med den får de sedan ange ett nytt lösenord som krypteras och sparas ner.

Annars kommer du inte kuna göra det du vill utan att säkerheten påverkas.

Visa signatur

Huvudriggen är en Gigabyte Aorus Xtreme | 128gb DDR5 6000 | Ryzen 7950X | 3080Ti
Utöver det är det för många datorer, boxar och servar för att lista :P

Citera flera Citera

2016-12-13 00:30

UMJ

Medlem

Plats: Härnösand
Registrerad: Jan 2016

●

Det är ju som sagt skicka iväg email när dem registerar och du genererar ett lösenord endast klar text i själva emailet och kryptera lösenord uppdateras, eller genererar du ett lösenord när du acceptera dem som members.

Men glöm inte att salta lösenord med salt1 och salt2 för skydda folk som kör typ lätta lösenord som 12345

Att ett lösenord skulle se ut typ så här.

!8%gIf5A12345Y4p@91?N

för även med MD5 så kan man bygga databaser med MD5 harshtagar för hacka MD5 krypterade lösenord och simpla lösenord är aldrig säker.

Bäst genera lösenord är så klart med en generator som slumpar A-Ö 1-9 så dem kan få typ lösenord 3gfdG5r312R

Sedan salta också dem flesta sidor bruka oftast bara kryptera i MD5 men glömmer bort salta och inte skyddar svaga lösenord.

Citera flera Citera

2016-12-13 00:42

Christley

Medlem ★

Plats: Stockholm
Registrerad: Maj 2009

●

Skrivet av UMJ:

Det är ju som sagt skicka iväg email när dem registerar och du genererar ett lösenord endast klar text i själva emailet och kryptera lösenord uppdateras, eller genererar du ett lösenord när du acceptera dem som members.

Men glöm inte att salta lösenord med salt1 och salt2 för skydda folk som kör typ lätta lösenord som 12345

Att ett lösenord skulle se ut typ så här.

!8%gIf5A12345Y4p@91?N

för även med MD5 så kan man bygga databaser med MD5 harshtagar för hacka MD5 krypterade lösenord och simpla lösenord är aldrig säker.

Bäst genera lösenord är så klart med en generator som slumpar A-Ö 1-9 så dem kan få typ lösenord 3gfdG5r312R

Sedan salta också dem flesta sidor bruka oftast bara kryptera i MD5 men glömmer bort salta och inte skyddar svaga lösenord.

använder inte ens md5 utan använder en kombination av flera möjliga lösningar. så någolunda koll gällande hur säkra lösenorden ska vara kan jag iaf

Visa signatur

Citera flera Citera

2016-12-13 00:47

UMJ

Medlem

Plats: Härnösand
Registrerad: Jan 2016

●

Skrivet av Christley:

använder inte ens md5 utan använder en kombination av flera möjliga lösningar. så någorlunda koll gällande hur säkra lösenorden ska vara kan jag iaf

Jo det är ju det bästa gör det ju svårare att göra krypterings databaser i rätt krypterings ordning för bygga upp databaser för jämföra. Lättaste låta dem köra via glömt lösenord skapa nya lösenord om man kör flera krypteringar.

Men ska man ha extra säkert så släng in 2 Steg verifikation så lösenord byts varje 30 sekunder och låt dem använda valfri lösenord generator som typ Google Authenticator eller vilken annan öppen källkod för generar 6 siffror lösenord som generas och låta folk köra iOS eller Android eller Microsoft egna Auth som finns även för Windows Phone och köra mobilen för logga in

Inte så svårt införa TOTP på sin webbsida eller appar TOTP (Time-based One-time Password)

Senast redigerat 2016-12-13 00:58

Citera flera Citera

2016-12-13 09:13

Teknocide

Medlem ★

Registrerad: Sep 2007

●

Skrivet av UMJ:

Det är ju som sagt skicka iväg email när dem registerar och du genererar ett lösenord endast klar text i själva emailet och kryptera lösenord uppdateras, eller genererar du ett lösenord när du acceptera dem som members.

Men glöm inte att salta lösenord med salt1 och salt2 för skydda folk som kör typ lätta lösenord som 12345

Att ett lösenord skulle se ut typ så här.

!8%gIf5A12345Y4p@91?N

för även med MD5 så kan man bygga databaser med MD5 harshtagar för hacka MD5 krypterade lösenord och simpla lösenord är aldrig säker.

Bäst genera lösenord är så klart med en generator som slumpar A-Ö 1-9 så dem kan få typ lösenord 3gfdG5r312R

Sedan salta också dem flesta sidor bruka oftast bara kryptera i MD5 men glömmer bort salta och inte skyddar svaga lösenord.

Skrivet av Christley:

använder inte ens md5 utan använder en kombination av flera möjliga lösningar. så någolunda koll gällande hur säkra lösenorden ska vara kan jag iaf

Använd aldrig MD5 för lösenord, det är sedan länge bevisat osäkert. PHP har sedan en tid tillbaka funktionen password_hash som använder en starkare hashfunktion och lägger på salt automatiskt. Använder man PHP är det mer eller mindre undantagslöst den funktionen som ska användas.

Visa signatur

Kom-pa-TI-bilitet