PHP - automatiskt skapande av lösenord

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2009

PHP - automatiskt skapande av lösenord

jag står inför ett dilemma jag inte vet hur jag ska lösa det.
jag ska kunna läsa in en lista på X antal personer med namn, email etc. samtidigt vill jag att det skapas lösenord till de kontonen. lösenorden ska inte skickas ut direkt till användarna utan det ska skickas ut när gruppen jag laddar upp ska få tillgång.
eftersom jag krypterar lösenorden med en 1-way encryption så vet jag omöjligt vad lösenorden är i klartext.

har ni några tips på hur jag kan skicka ut lösenorden till personerna i efterhand utan att äventyra säkerheten?

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Trädvy Permalänk
Medlem
Plats
Karlskrona
Registrerad
Aug 2009

Det är ju bara att fånga det innan du krypterar det?

Asus Zenith Extreme | 32gb DDR4 3200MHZ CL14 | Threadripper 1950X | 1080Ti
Asus Z97 Pro Gamer | 32gb ram DDR3 2400MHz | i7 4790k | 2 x R9 390 - Barnen fått ta över
Asrock P67 Extreme4 rev3 | 16gb DDR3 2400MHz | i7 2600K | R9 290 - Barnen fått ta över
En massa bärbara, servrar, RPi's och andra boxar

Trädvy Permalänk
Medlem
Plats
Umeå -> Nordmaling
Registrerad
Jul 2007

I efterhand, nej.

Är lösenorden krypterade är det inte praktiskt möjligt, och alla sidor som erbjuder möjligheten att skicka ut glömt lösenord sparar lösenorden i klartext och du bör byta lösenord på dessa sidor innan du omedelbart avslutar ditt medlemskap.

Som inquam nämnde kan du skicka ut användarnamn och lösenord när kontot skapas, innan du krypterar och sparar informationen. Efter detta rekommenderar jag att glömt lösenord fixas genom att generera ett nytt temporärt lösenord och maila ut den, och sedan spara det nya lösenordet krypterat.

Trädvy Permalänk
Medlem
Plats
i din garderob
Registrerad
Sep 2007
Skrivet av Christley:

jag står inför ett dilemma jag inte vet hur jag ska lösa det.
jag ska kunna läsa in en lista på X antal personer med namn, email etc. samtidigt vill jag att det skapas lösenord till de kontonen. lösenorden ska inte skickas ut direkt till användarna utan det ska skickas ut när gruppen jag laddar upp ska få tillgång.
eftersom jag krypterar lösenorden med en 1-way encryption så vet jag omöjligt vad lösenorden är i klartext.

har ni några tips på hur jag kan skicka ut lösenorden till personerna i efterhand utan att äventyra säkerheten?

Skrivet av Raphaei:

I efterhand, nej.

Är lösenorden krypterade är det inte praktiskt möjligt, och alla sidor som erbjuder möjligheten att skicka ut glömt lösenord sparar lösenorden i klartext och du bör byta lösenord på dessa sidor innan du omedelbart avslutar ditt medlemskap.

Som inquam nämnde kan du skicka ut användarnamn och lösenord när kontot skapas, innan du krypterar och sparar informationen. Efter detta rekommenderar jag att glömt lösenord fixas genom att generera ett nytt temporärt lösenord och maila ut den, och sedan spara det nya lösenordet krypterat.

En smidig variant av detta är att du skickar ut en engångsnyckel som tillåter en användare att ändra sitt lösenord. Generera en unik länk som skickas till användarens epostadress. Länken leder till en sida där användaren anger sitt önskade lösenord, som sedan sparas direkt i databasen. Samma tjänst kan användas för att låta användare återställa sitt lösenord.

Bilanaloger är som Volvo — varenda svenne kör med dem

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010

Är det en skoluppgift?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2009
Skrivet av studiox_swe:

Är det en skoluppgift?

inte gått i skolan på 6 år så nej

Skrivet av inquam:

Det är ju bara att fånga det innan du krypterar det?

"...utan att äventyra säkerheten?"
då har jag ju alltså det i klartext. vilket är det jag vill undvika att ha.

Skrivet av Teknocide:

En smidig variant av detta är att du skickar ut en engångsnyckel som tillåter en användare att ändra sitt lösenord. Generera en unik länk som skickas till användarens epostadress. Länken leder till en sida där användaren anger sitt önskade lösenord, som sedan sparas direkt i databasen. Samma tjänst kan användas för att låta användare återställa sitt lösenord.

det lät som en smidig lösning. ska försöka mig på den

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Trädvy Permalänk
Medlem
Plats
Karlskrona
Registrerad
Aug 2009
Skrivet av Christley:

inte gått i skolan på 6 år så nej

"...utan att äventyra säkerheten?"
då har jag ju alltså det i klartext. vilket är det jag vill undvika att ha.

det lät som en smidig lösning. ska försöka mig på den

Men du kan inte käka kakan och ha kvar den. Det säger sig självt att du inte kan ha kvar lösenordet, utan att ha kvar lösenordet. Om du ändå tänker maila ut det så är ju säkerhetstänket redan naggat i kanten. Om du inte gör detta i krypterade mail dvs. Antingen får väll användare själva skapa ett nytt lösen första gången de signar in (och kan då använda sitt gamla om de vill) eller så tvingas du att lagra deras gamla. Det bästa du i så fall kan göra är att fokusera på hur och vart du sparar dem så länge.

Personligen hade jag skapat profiler för alkla existerande användare och skickat uyt mail med en aktiveringslänk/kod. När de loggar in med den får de sedan ange ett nytt lösenord som krypteras och sparas ner.

Annars kommer du inte kuna göra det du vill utan att säkerheten påverkas.

Asus Zenith Extreme | 32gb DDR4 3200MHZ CL14 | Threadripper 1950X | 1080Ti
Asus Z97 Pro Gamer | 32gb ram DDR3 2400MHz | i7 4790k | 2 x R9 390 - Barnen fått ta över
Asrock P67 Extreme4 rev3 | 16gb DDR3 2400MHz | i7 2600K | R9 290 - Barnen fått ta över
En massa bärbara, servrar, RPi's och andra boxar

Trädvy Permalänk
Medlem
Plats
Härnösand
Registrerad
Jan 2016

Det är ju som sagt skicka iväg email när dem registerar och du genererar ett lösenord endast klar text i själva emailet och kryptera lösenord uppdateras, eller genererar du ett lösenord när du acceptera dem som members.

Men glöm inte att salta lösenord med salt1 och salt2 för skydda folk som kör typ lätta lösenord som 12345

Att ett lösenord skulle se ut typ så här.

!8%gIf5A12345Y4p@91?N

för även med MD5 så kan man bygga databaser med MD5 harshtagar för hacka MD5 krypterade lösenord och simpla lösenord är aldrig säker.

Bäst genera lösenord är så klart med en generator som slumpar A-Ö 1-9 så dem kan få typ lösenord 3gfdG5r312R

Sedan salta också dem flesta sidor bruka oftast bara kryptera i MD5 men glömmer bort salta och inte skyddar svaga lösenord.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2009
Skrivet av UMJ:

Det är ju som sagt skicka iväg email när dem registerar och du genererar ett lösenord endast klar text i själva emailet och kryptera lösenord uppdateras, eller genererar du ett lösenord när du acceptera dem som members.

Men glöm inte att salta lösenord med salt1 och salt2 för skydda folk som kör typ lätta lösenord som 12345

Att ett lösenord skulle se ut typ så här.

!8%gIf5A12345Y4p@91?N

för även med MD5 så kan man bygga databaser med MD5 harshtagar för hacka MD5 krypterade lösenord och simpla lösenord är aldrig säker.

Bäst genera lösenord är så klart med en generator som slumpar A-Ö 1-9 så dem kan få typ lösenord 3gfdG5r312R

Sedan salta också dem flesta sidor bruka oftast bara kryptera i MD5 men glömmer bort salta och inte skyddar svaga lösenord.

använder inte ens md5 utan använder en kombination av flera möjliga lösningar. så någolunda koll gällande hur säkra lösenorden ska vara kan jag iaf

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Trädvy Permalänk
Medlem
Plats
Härnösand
Registrerad
Jan 2016
Skrivet av Christley:

använder inte ens md5 utan använder en kombination av flera möjliga lösningar. så någorlunda koll gällande hur säkra lösenorden ska vara kan jag iaf

Jo det är ju det bästa gör det ju svårare att göra krypterings databaser i rätt krypterings ordning för bygga upp databaser för jämföra. Lättaste låta dem köra via glömt lösenord skapa nya lösenord om man kör flera krypteringar.

Men ska man ha extra säkert så släng in 2 Steg verifikation så lösenord byts varje 30 sekunder och låt dem använda valfri lösenord generator som typ Google Authenticator eller vilken annan öppen källkod för generar 6 siffror lösenord som generas och låta folk köra iOS eller Android eller Microsoft egna Auth som finns även för Windows Phone och köra mobilen för logga in

Inte så svårt införa TOTP på sin webbsida eller appar TOTP (Time-based One-time Password)

Trädvy Permalänk
Medlem
Plats
i din garderob
Registrerad
Sep 2007
Skrivet av UMJ:

Det är ju som sagt skicka iväg email när dem registerar och du genererar ett lösenord endast klar text i själva emailet och kryptera lösenord uppdateras, eller genererar du ett lösenord när du acceptera dem som members.

Men glöm inte att salta lösenord med salt1 och salt2 för skydda folk som kör typ lätta lösenord som 12345

Att ett lösenord skulle se ut typ så här.

!8%gIf5A12345Y4p@91?N

för även med MD5 så kan man bygga databaser med MD5 harshtagar för hacka MD5 krypterade lösenord och simpla lösenord är aldrig säker.

Bäst genera lösenord är så klart med en generator som slumpar A-Ö 1-9 så dem kan få typ lösenord 3gfdG5r312R

Sedan salta också dem flesta sidor bruka oftast bara kryptera i MD5 men glömmer bort salta och inte skyddar svaga lösenord.

Skrivet av Christley:

använder inte ens md5 utan använder en kombination av flera möjliga lösningar. så någolunda koll gällande hur säkra lösenorden ska vara kan jag iaf

Använd aldrig MD5 för lösenord, det är sedan länge bevisat osäkert. PHP har sedan en tid tillbaka funktionen password_hash som använder en starkare hashfunktion och lägger på salt automatiskt. Använder man PHP är det mer eller mindre undantagslöst den funktionen som ska användas.

Bilanaloger är som Volvo — varenda svenne kör med dem