ciao,
ho letto sulla rete vari modi per criptare la password prima di inserire quest'ultima nel db mysql .
In particolare con il php i metodi md5() e sha1() .

Ho una domandina , queste criptano la stringa una volta che è stata inserita , ma non è comunque poco sicuro come metodo ?

la password è in chiaro nelle variabili globali _POST , e inoltre se uno sa l'algoritmo usato, non è possibile se si riesce a prendere possesso del db fare facilmente la decriptazione ? :confused:

ammesso e concesso che qualcuno riesce ad avere accesso al database, hai idea di quanto tempo ci vuole per decryptare una buona password?

con un utilizzo di maiuscole/minuscole + numeri + caratteri speciali si può dire che è praticamente impossibile.

se poi uno sceglie come password "1234password" allora non è questione di sistema ma di utente :)

cmq se vuoi fare una bella cosa oltre all'hash md5 puoi usare una salatura in modo da rendere difficile/impossibile un attacco tramite rainbow tables
https://en.wikipedia.org/wiki/Salt_(cryptography)

ciao,
ho letto sulla rete vari modi per criptare la password prima di inserire quest'ultima nel db mysql .
In particolare con il php i metodi md5() e sha1() .

Ho una domandina , queste criptano la stringa una volta che è stata inserita , ma non è comunque poco sicuro come metodo ?

la password è in chiaro nelle variabili globali _POST , e inoltre se uno sa l'algoritmo usato, non è possibile se si riesce a prendere possesso del db fare facilmente la decriptazione ? :confused:

md5 e sha1 sono algoritmi di hashing, non di criptazione

la password è in chiaro nelle variabili globali _POST , e inoltre se uno sa l'algoritmo usato, non è possibile se si riesce a prendere possesso del db fare facilmente la decriptazione ? :confused:

algoritmo publico non vuol dire facilmente spezzabile.
E cmq hash != crypt

ciao,
ho letto sulla rete vari modi per criptare la password prima di inserire quest'ultima nel db mysql .
In particolare con il php i metodi md5() e sha1() .


si tratta di hashing non di crittografia...comunque è quella la tecnica

usa sha1 perchè è più robusto


la password è in chiaro nelle variabili globali _POST , e inoltre se uno sa l'algoritmo usato, non è possibile se si riesce a prendere possesso del db fare facilmente la decriptazione ? :confused:

produrre da un hash il valore originario, è per gente fuori di testa e con migliaia di anni da perdere :D

sul discorso del post, se usi https i dati viaggiano crittografati....però, per un qualsiasi sito web normale, è impensabile che qualcuno vada ad intercettare le comunicazioni per rubare le password

se invece l'utente c'ha un malware sul pc, beh, ci sono metodi più semplici dello spiare il traffico di rete