Jaké formáty hesel používáte? (hash, zp. uložení...)

Ahoj. Vytvářím aplikaci, která by měla umět pracovat s hesly uloženými v nějakých tabulkách v relačních databázích. Potřebuju, aby aplikace znala co největší množství standardních formátů, zavrhnul jsem myšlenku uživatelské definice formátu např. (%sha1(%crypt_md5(heslo)... protože některé šifry nejen že jsou jednocestné ale také pokaždé házejí jiný výsledek - tudíš ošetření takových možností by bylo na hooodě dlouho. Proto mě zajímá jakým způsobem ukládáte hesla vy abych věděl co všechno v aplikaci nabídnout, jaké formáty používáte, v kolika sloupcích je heslo/salt apod.? Já např. používám pro ukládání hesel + příp. saltu jeden sloupec:
md5(hesloSALT):SALT
sha512(heslo)
crypt_md5(heslo) ($1$...)
Budu vděčný za každý případ. Děkuju.

Odpovědi

Kombinovat hashe je celkem zbytečné, bezpečnost se tím nezvedá.

Doporučuji použít unixový systém: $CipherID$Salt$Hash. Kromě osvědčené koncepce se může hodit i kompatibilita s PAM.

13.2.2011 19:30 holy
Rozbalit Rozbalit vše Re: Jaké formáty hesel používáte? (hash, zp. uložení...)

S implementací tohoto už počítám, to je "jediný" formát kterým si mohu být jistý. Existují vlastně nějaké standardy pro hesla? Vím třeba že dovecot implementuje SHA512 v base64 formátu, často je jinde ale vidět i v hex formátu. Existuje na to nějaké RFC? Co jsem zatím vygooglil to vypadá tak, že se takové formáty už tak nějak ujaly, ale nemají přesně dané formáty v RFC např. SSHA (salted base64 sha1).

13.2.2011 20:46 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Jaké formáty hesel používáte? (hash, zp. uložení...)

Já pokud potřebuju heslo v db, tak použiju cokoliv si databáze představuje pod funkcí password().

In Ada the typical infinite loop would normally be terminated by detonation.

Dotaz: Jaké formáty hesel používáte? (hash, zp. uložení...)

Odpovědi