بالا بردن امنیت پسورد و فرم در php

**mghhgm** · 20-04-2011, 13:36

سلام.دوستان خسته نباشید

می خواستم ببینم چطوری رمز عبور کاربر رو بصورت کد شده در دیتابیس ذخیره کنم که امنیتش حداکثر باشه؟

چون توابع MD5 و Sha1 که مثل اینکه دیگه امنیتی نداره!
چون این چند سایت رمز کد شده رو میتونه برگردونه!!!!

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

و...

حالا برای ذخیره رمز عبور بصورت امن چکار میشه کرد؟؟؟؟

سوال دومم این هست که برای بالا بردن فرم هایی که اطلاعات رو به این صورت ارسال میکنن ، چطور میشه امنیت رو بالاتر برد؟؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

از چه اسکریپت captcha ای استفاده کنم امن تر هست؟؟ چون بعضی از captcha ها از session استفاده نکردن!

موضوع امن کردن سایت خیلی برام مهم هست و ذهنم رو درگیر داره! لطفا کمکم کنید.

ممنون

**eAmin** · 20-04-2011, 19:08

این سایتها از طریق دیتابیس اقدام به رمزگشایی پسوردها و نوشته های hash شده میکنن. یکی از بهترین راهها استفاده از salt هست. یعنی شما یک عبارت تصادفی رو به همراه پسورد کاریر ذخیره کنید. با اینکار امنیت پسوردهای شما تا 99.99% تضمین میشه.
اگر هم خیلی به تابع های مذکور اطمینان ندارید میتونید 2 بار اینکار رو بکنید یا با استفاده از الگوریتمهای دیگه مثل sha256 یا sha512 اقدام به hash کردن پسوردها بکنید، البته به همراه salt.

اگر خودتون میتونید یک script captcha ی مطمئن بنویسید که هیچ، در غیر اینصورت بهتون پیشنهاد میکنم از API های مثل reCAPTCHA رو برای submit کردن، استفاده کنید.

اگر میخواید یک سایت مطئن و امنی رو داشته باشید، حداقل کارهایی که میتونید برای جلوگیری از ---- شدن وبسایت خودتون انجام بدید، جلوگیری از حداقل حملاتی هست که درزیر برای شما آوردم.
SQL Injection
Session Hijacking/Fixation
XSS
CSRF
LFI/RFI
و ... که برای جلوگیری و چگونگی جلوگیری از این حملات شما رو به استفاده از google و موتورهای جستجو راهنمایی میکنم!
البته اینها فقط بخشی از حملات مورد استفاده هکرها بشمار می یاد، و تعداد حملات بیشتری هم وجود داره.

موفق باشید.

**mghhgm** · 22-04-2011, 19:09

ممنونم.من دارم یه الگوریتم برای رمز کردن پسوردها و متون با php مینویسم.آیا اینطوری امنیت بیشتر نیست؟؟؟؟ مثلا من رمزها رو با الگوریتم خودم کد کنم و دوباره این رمز کد شده رو با الگوریتم salt کد کنم و برای خواندن رمز هم همین روند رو برعکس انجام بدم؟؟؟

البته الان که دارم این الگوریتم رو مینویسم خیلی کارم سخت شده.چون اگر کاربر داخل رمز خودش از کاراکتر های فارسی و انگلیسی استفاده کنه ، با الگوریتم من رمز میشه.اما اگر یه کاربر علاوه بر اینا از کاراکترهای دیگه ، مثلا کاراکترهای زبان ژاپنی و یا چینی استفاده کنه ، دیگه الگوریتم من جواب نمیده!!!
چکار کنم؟؟؟؟؟ چون کاراکتر که زیاده.اگر هر کاراکتر رو به مبنای 16 ببرم و بعد اون مبنا رو کد کنم راحت تر نیست؟؟؟؟

ممنون

**mtchabok** · 23-04-2011, 09:44

عزیزم این یه روش رمز کردن رشته هس :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

در ضمن در مورد رمز عبور هیچ وقت رمز رو رمزگشایی نکن و سعی کن برای چک کردن رمز عبور ، رمزی که از کاربر میگیری رو کد کنی و بعدش کدشده اونو با رمز موجود در جدول چک کن . در مورد خیلی از رشته های کد شده دیگه هم از همین روش استفاده کن و سعی کن رشته ای که کد شده رو هیچ وقت دیکد نکنی و یا الگوریتم رو به گونه ای بنویسی که اصلا دیکد نشه .

**mghhgm** · 23-04-2011, 15:22

نوشته شده توسط mtchabok [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

عزیزم این یه روش رمز کردن رشته هس :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

در ضمن در مورد رمز عبور هیچ وقت رمز رو رمزگشایی نکن و سعی کن برای چک کردن رمز عبور ، رمزی که از کاربر میگیری رو کد کنی و بعدش کدشده اونو با رمز موجود در جدول چک کن . در مورد خیلی از رشته های کد شده دیگه هم از همین روش استفاده کن و سعی کن رشته ای که کد شده رو هیچ وقت دیکد نکنی و یا الگوریتم رو به گونه ای بنویسی که اصلا دیکد نشه .

واقعا ازت ممنونم.بعضی وقتا آدم از بس خودشو درگیر یه کار میکنه ، از این موضوعات غافل میشه.باز هم ممنون.

اما این موضوع که خودم پسور رو با الگوریتم خودم + یه الگوریتم دیگه رمز کنم ، موافق هستید؟؟ یا میگید سایت کند میشه؟؟

ممنون

**mtchabok** · 23-04-2011, 16:15

اگه پسورد براتون خیلی مهم هس و مسئله حیاتی هس بله ایرای نداره ولی اگه ضروری نیس بهتره از یه الگوریتم استفاده کنید .
در ضمن بهتر هس که زیاد مثل من اون قدیما روی این جور مسائل وسواسی نشین .

یه الگوریتم خوب بنویسید و از همون استفاده کنین .

**neopersia** · 23-04-2011, 22:21

برای هش کردن پسورد بهتره خودتون الگوریتم ننویسید و از روشهای موجود استفاده کنید
دلیلش هم مشخص هست! وقتی خودتون الگوریتمی برای هش کردن بنویسید و برای خودتون هم استفاده کنید هیچ تضمینی وجود نداره که این الگوریتم امن باشه و یا اینکه قابل اطمینان باشه و نتایجش با هم زیاد تداخل نداشته باشه و... چون هیچوقت به اندازه کافی و توسط افراد مختلف تست نخواهد شد.

همونطور که امین اشاره کرد سالت کردن پسورد و بعد هش کردن آن با یکی از الگوریتمهای هش موجود بهترین روشی هست که میتونید استفاده کنید

**sobhdami** · 25-04-2011, 19:02

اگه هنوز کسی اومد و خواست از این پست استفاده کنه خودشو عزیت نکنه
راه استانداردش اینه
مثلا pass رو زمان ثبت نام کاربر از اون میگیری حال این کار رو بکنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دیگه به هیچ عنوان رمزگشایی نمیشه
ولی چطور رمز یه کاربر رو چک کنیم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اینجوری اگه کسی به اطلاعات دیتابیس شما دسترسی پیدا کنه به هیچ عنوان نمیتونه رمز کاربران رو بخونه
انجمن وی بی بولتون هم از همین روش استفاهده می کنه که اگه مشکلی تو این روش میبود سه سوت -- میشد
در ضمن اون کوری رو همینجوری نذارید قبلش ورودی های غیر مجاز رو چک کنید
موفق باشید

**neopersia** · 25-04-2011, 20:38

دوست عزیز این پستهایی که قبل از شما ارسال شده همه این روش شما رو در نظر گرفتند!
اگر دقت کرده باشید در پست اول هم دلیل امنیت پایین این روش گفته شده. اگر بدون سالت کردن پسورد ذخیره بشه امکان پیدا کردن پسورد با استفاده از دیتابیسهای موجود وجود داره

**sobhdami** · 26-04-2011, 10:21

اگه یه عدد تصادفی کنارش اضافه بشه دیگه نمیتونه دیکدش بکنه

نام تاپيک: بالا بردن امنیت پسورد و فرم در php

اختيارات تاپيک

بالا بردن امنیت پسورد و فرم در php

2 کاربر از eAmin بخاطر این مطلب مفید تشکر کرده اند

این کاربر از neopersia بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن