Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Tiago R. Paza

Trabalhando com criptografia de login com md5()

Recommended Posts

Galera estou trabalhando com criptografia de usuário e senha.

Para isso estou usando o md5()

<?php
	$usuario = md5($_POST['usuario']);
	$senha = md5($_POST['senha']);
?>

E gravo no banco:

<?php
	db::Query("INSERT painel_usuarios(usuario, senha, email, turno, ativo) VALUES ('$usuario','$senha','$email','$turno','$status') ");
?>

  A minha dúvida é como posso fazer para o input para o usuário logar com a senha fornecida, pois ele está validando a senha criptografada e se informo a senha original sem criptografia no campo de input ele dá a senha invalida, como solucionar este problema?

Compartilhar este post


Link para o post
Compartilhar em outros sites

ué só fazer a mesma coisa na hora da consulta ou seja criptografar antes de passar ela para a query e não se costuma criptografar outros dado como usuario não até porque tu pode precisar alguma hora printar ele na tela e não tem como descriptografar

Compartilhar este post


Link para o post
Compartilhar em outros sites

Em primeiro lugar, compreenda o que é HASH e o que é CRIPTOGRAFIA.

http://stackoverflow.com/a/4948393/1628790

 

Em segundo lugar, não deve ser utilizado md5 para hash de senhas. PHP possui a biblioteca password. Outra, que o login do usuário não deve ter hash.

 

Para inserir/salvar a senha, deve-se utilizar a função password_hash:

$usuario = $_POST['usuario'];
$senha = password_hash($_POST['senha'] , PASSWORD_DEFAULT);

//e salve no SGBD

Para realizar o login, deve-se utilizar a função password_verify. O código em questão deve ser similar a:

//criado utilizando o seguinte código: password_hash("dummy_password" , PASSWORD_DEFAULT);
define("DUMMY_PASSWORD" , '$2y$10$bev5nl962WWcwa1G2gyXyunkKY77Xf7OTr.1I3zcl7Qd4zFYCqXjC');

$usuario = $_POST['usuario'];

$pdo = new \PDO(/** dados de conexão**/);
$statement = $pdo->prepare('SELECT * FROM user WHERE login = ?');
$statement->execute([$usuario]);
$row = $statement->fetch(PDO::FETCH_ASSOC);
if(!$row)
{
    // A validação é feita em uma senha qualquer 
    //para que o tempo de resposta entre uma consulta que o usuário não exista
    //e uma consulta que o usuário exista e a senha esteja errada seja o mesmo.
    password_verify("" , DUMMY_PASSWORD);

    throw new \RuntimeException('Usuário/Senha não confere');//usuário não existe, mas a mensagem é genérica para evitar força bruta
}

if(!password_verify($_POST['senha'] , $row['password']))
{
    throw new \RuntimeException('Usuário/Senha não confere');//usuário existe, mas a mensagem é genérica para evitar força bruta
}

echo 'usuário logado';

Somente reforçando, não utilize MD5, é falho e inseguro.

 

-------

Update

Para ver a questão da DUMMY_PASSWORD, leia o seguinte artigo: http://blog.ircmaxell.com/2014/11/its-all-about-time.html

Compartilhar este post


Link para o post
Compartilhar em outros sites
Em 2017-4-19 at 17:11, Maykel-ctba disse:

O MD5 é inseguro?

 
 
 

Primeiro, MD5 foi criado para ser uma criptografia do tipo hash (unidirecional) para criar um fingerprint (impressão digital) de um conjunto de caracteres/bytes (certificados digitais, por exemplo). Entretanto, foram encontradas diversas falhas nele, que, hoje em dia, ele não é mais utilizado para o propósito original.

 

Tem vários materiais sobre a (in)segurança do MD5.

https://en.wikipedia.org/wiki/MD5#Security

https://security.stackexchange.com/questions/19906/is-md5-considered-insecure

https://security.stackexchange.com/questions/52461/how-weak-is-md5-as-a-password-hashing-function

 

Em 2017-4-19 at 17:11, Maykel-ctba disse:

Mesmo não sendo um hash "retornável"?

 
 
 
 

Não ser retornável, não quer dizer impossível de ser quebrado. O pensamento "linear" de "quebrar" é possuir um hash e retorná-lo ao estado de origem. Entretanto, não é isso que ocorre.

 

O MD5 é tão rápido de ser gerado, que pode-se gerar biliões de combinações em pouco espaço de tempo. Você não precisa saber o HASH original, só precisa encontrar um que, quando gerado, seja igual ao outro.

 

Lembrando que MD5 gera colisões, ou seja, conjuntos de caracteres diferentes podem gerar hashs iguais.

https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities

https://en.wikipedia.org/wiki/Collision_attack

 

A forma mais conhecida de "reverter" um MD5 é através de uma rainbow table. Veja por si só no link abaixo

https://crackstation.net/

 

Ou pesquise no google sobre "MD5 Reverse".

 

Em 2017-4-19 at 17:11, Maykel-ctba disse:

Qual a diferença para o próprio do PHP?

 
 
 

No link abaixo você pode ler um pouco sobre como funciona o password_hash:

https://pt.stackoverflow.com/questions/194929/password-hash-php/194950#194950

 

Em 2017-4-19 at 17:33, Progjunior Daniel disse:

Md5 não é inseguro e o hash já tem função prontas de gerar e verificar não precisa converter!

Fale isso para o CERT...  http://www.kb.cert.org/vuls/id/836068

 

Uma das primeiras falhas do MD5 foi encontrada em 1996:

ftp://ftp.rsasecurity.com/pub/cryptobytes/crypto2n2.pdf

 

Como pode dizer que é seguro?

Compartilhar este post


Link para o post
Compartilhar em outros sites

e password_hash seria melhor apenas que md5 e sha1 ou melhor que sha256, sha364 e sha512 também? porque a hash gerada por ele é de 60 caracteres ou seja mais do que md5 e sha1 mas inferior aos outros 3. sha512 gera hash de 128 caracteres acho que o collide risk é bem menor com sha512 não acha? e talvez vou falar bestera mas e se juntar por exemplo md5 e sha1 pra gerar a senha no banco? não falo de hashear um dentro do outro falo de concatenar as duas hashs acho que aí a chance de colisão seria ainda menor do que usando qualquer um deles sozinho ou será que não? nunca fiz isso estou só imaginando aqui

Compartilhar este post


Link para o post
Compartilhar em outros sites

@marsolim Não é apenas a quantidade de caracteres que influência. Existem N fatores. Algumas das questões que posso afirmar:

 

- Blowfish é o algorítimo mais poderoso que o PHP possui no momento (Argon2 está planejado para ser lançado com o PHP 7.3);

- Cada identificador utilizado pelo blowfish ($2a$, $2x$ e $2y$), gerará um tipo de hash diferente;

- password_hash cria automaticamente um SALT forte (caso nenhum SALT seja fornecido) para melhorar ainda mais a segurança;

- password_hash tem proteção contra força bruta (link 1 e link 2) e timing attack.

 

Sobre colisão, todo algorítimo é passível de colisão (há quem diga que não, entretanto, vejo apenas como uma questão de "possível, mas improvável"), o que muda é a probabilidade. MD5 tem uma maior incidência por ser do tipo footprint (impressão digital).

 

O password_hash, por outro lado, gerará hash's aleatórios, determinados pelo salt utilizado. O salt é parte essencial do hash gerado (está dentro dos 60 caracteres). Já que, a probabilidade de se gerar uma colisão sem salt, ou com salt fixo, é alta, com salt aleatório a probabilidade de uma colisão é muito menor.

 

Algumas questões de segurança, a mais, podem ser verificas no link abaixo que explica sobre o identificador '$2y$':

http://www.php.net/security/crypt_blowfish.php

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Apenas para complementar a parte sobre Timing-attack, sugiro a leitura do seguinte link:

http://blog.ircmaxell.com/2014/11/its-all-about-time.html

Compartilhar este post


Link para o post
Compartilhar em outros sites

E, para quem quiser se aprofundar mais, leiam os artigos de Scott Arciszewski , ele é um dos "cabeças" no PHP quando se trata de segurança.

 

Alguns que podem ser de interesse:

https://paragonie.com/blog/2016/02/how-safely-store-password-in-2016

https://paragonie.com/blog/2015/04/secure-authentication-php-with-long-term-persistence

Compartilhar este post


Link para o post
Compartilhar em outros sites

Excelente explicação.:thumbsup:

 

Antes que alguém pergunte... Sim, da pra fazer um SALT e concatenar com a palavra digitada e gerar um MD5, porém, pelos motivos de segurança já expostos acima, o melhor é utilizar a própria função nativa que já faz isso por si só, do contrário estás fazendo uma gambiarra.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Em 19/04/2017 at 17:48, Gabriel Heming disse:

Primeiro, MD5 foi criado para ser uma criptografia do tipo hash (unidirecional) para criar um footprint (impressão digital) de um conjunto de caracteres/bytes (certificados digitais, por exemplo). Entretanto, foram encontradas diversas falhas nele, que, hoje em dia, ele não é mais utilizado para o propósito original.

 

Tem vários materiais sobre a (in)segurança do MD5.

https://en.wikipedia.org/wiki/MD5#Security

https://security.stackexchange.com/questions/19906/is-md5-considered-insecure

https://security.stackexchange.com/questions/52461/how-weak-is-md5-as-a-password-hashing-function

 

Não ser retornável, não quer dizer impossível de ser quebrado. O pensamento "linear" de "quebrar" é possuir um hash e retorná-lo ao estado de origem. Entretanto, não é isso que ocorre.

 

O MD5 é tão rápido de ser gerado, que pode-se gerar biliões de combinações em pouco espaço de tempo. Você não precisa saber o HASH original, só precisa encontrar um que, quando gerado, seja igual ao outro.

 

Lembrando que MD5 gera colisões, ou seja, conjuntos de caracteres diferentes podem gerar hashs iguais.

https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities

https://en.wikipedia.org/wiki/Collision_attack

 

A forma mais conhecida de "reverter" um MD5 é através de uma rainbow table. Veja por si só no link abaixo

https://crackstation.net/

 

Ou pesquise no google sobre "MD5 Reverse".

 

No link abaixo você pode ler um pouco sobre como funciona o password_hash:

https://pt.stackoverflow.com/questions/194929/password-hash-php/194950#194950

 

Fale isso para o CERT...  http://www.kb.cert.org/vuls/id/836068

 

Uma das primeiras falhas do MD5 foi encontrada em 1996:

ftp://ftp.rsasecurity.com/pub/cryptobytes/crypto2n2.pdf

 

Como pode dizer que é seguro?

 

Legal, não sabia dessa matéria! Eu sempre fiz com md5, mas a função que existe do php é um código mais complexo mesmo!!!
Obrigado pelo feedback.

Compartilhar este post


Link para o post
Compartilhar em outros sites

  • Conteúdo Similar

    • Por ILR master
      Fala galera, tudo bem?
       
      Tenho o seguinte codigo:
       
       class Data {
      public static function ExibirTempoDecorrido($date)
      {
          if(empty($date))
          {
              return "Informe a data";
          }
          $periodos = array("segundo", "minuto", "hora", "dia", "semana", "mês", "ano", "década");
          $duracao = array("60","60","24","7","4.35","12","10");
          $agora = time();
          $unix_data = strtotime($date);
          // check validity of date
          if(empty($unix_data))
          {  
              return "Bad date";
          }
          // is it future date or past date
          if($agora > $unix_data) 
          {  
              $diferenca     = $agora - $unix_data;
              $tempo         = "atrás";
          } 
          else 
          {
              $diferenca     = $unix_data - $agora;
              $tempo         = "agora";
          }
          for($j = 0; $diferenca >= $duracao[$j] && $j < count($duracao)-1; $j++) 
          {
              $diferenca /= $duracao[$j];
          }
          $diferenca = round($diferenca);
          if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
          return "$diferenca $periodos[$j] {$tempo}";
      }
      }
       
      Funciona redondinho se o valor retornado for de algumas horas, mas...
      Quando passa de dois meses, ele retorna a palavra mess. Deve ser por conta dessa linha
      if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
       
      Quero que modre:
       
      2 meses atrás
      e não
      2 mess atrás.
       
      Espero que tenham entendido.
       
      Valeu
    • Por Carlos Web Soluções Web
      Olá...
      Estou tentando fazer o seguinte !!
      Listando dados em tabela !!
      Gostaria que....se na listagem houver 4 linhas...indepedente de seu número de ID, faça a listagem em ID ser em ordem 1 2 3 4 !!
      Exemplo...se tiver uma listagem de dados que está em ID 1 3 3...faça ficar 1 2 3 !!

       
      echo "<table class='tabela_dados' border='1'> <tr> <td>ID</td> <td>Nome Empresa</td> <td>Responsável</td> <td>Telefone 1</td> <td>Telefone 2</td> <td>E-mail 1</td> <td>E-mail 2</td> <td>Endereço</td> <td>CEP</td> <td>Bairro</td> <td>AÇÃO 1</td> <td>AÇÃO 2</td> </tr> "; $sql = "SELECT ID FROM usuarios_dados WHERE Usuario='$usuario'"; $result = $conn->query($sql); $num_rows = $result->num_rows; $Novo_ID = 1; for ($i = 0; $i < $num_rows; $i++) { $registro = $result -> fetch_row(); $sql2 = "UPDATE usuarios_dados SET ID='$Novo_ID' WHERE ID='$Novo_ID'"; $result2 = $conn->query($sql2); $Novo_ID++; } $sql = "SELECT * FROM usuarios_dados"; $result = $conn->query($sql); if ($result->num_rows > 0) { // output data of each row while($row = $result->fetch_assoc()) { echo "<tr> <td>$row[ID]</td> <td>$row[Nome_Empresa]</td> <td>$row[Responsavel]</td> <td>$row[Telefone_1]</td> <td>$row[Telefone_2]</td> <td>$row[Email_1]</td> <td>$row[Email_2]</td> <td>$row[Endereço]</td> <td>$row[CEP]</td> <td>$row[Bairro]</td> <td> <form method='post' action='Editar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='EDITAR'> </form> </td> <td> <form method='post' action='Deletar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='DELETAR'> </form> </td> </tr> "; } } else { echo "0 results"; } $conn->close();  
    • Por ILR master
      Boa tarde pessoal, tudo bem ?
       
      Eu uso o tinymce para cadastro de textos no meu siite, porém, quero fazer um sistema para que os colunistas possam fazer o próprio post.
      O problema do tinymce, é que ele mantém a formatação do texto copiado, como tamanho de fonts, negritos, etc... Quero que o usuário cole o texto e a própria textarea limpe a formatação para que ele formate como quiser.
       
      A pergunta é:
       
      O tinymce tem uma opção para desabilitar a formatação quando um texto é colocado?
      Tem alguma função via java ou php para retirar a formatação assim que o texto é colado?
      Ou é melhor usar um outro editor?
       
      Agradeço deste já.
    • Por Giovanird
      Olá a todos!
      Tenho uma pagina que possui uma DIV onde coloquei uma pagina PHP.
      Uso a função setInterval para atualizar a pagina inclusa dentro da DIV.
      O problema é que ao acessar o site , a DIV só me mostra a pagina inclusa somente quando completo o primeiro minuto.
      Preciso que a pagina inclusa já inicie carregada
       
      Meu código JavaScript e a DIV com a pagina PHP
       
      <script> function atualiza(){ var url = 'direita.php'; $.get(url, function(dataReturn) { $('#direita').html(dataReturn); }); } setInterval("atualiza()",60000); </script> <div> <span id="direita"></span> </div>  
    • Por ILR master
      Fala pessoal.
       
      Seguinte:
       
      Quero selecionar duas tabelas e mostrar com resultados intercalados. Abaixo segue um código explicando para vcs terem uma ideia.
       
      $consulta = "SELECT A.*, B.* FROM tabela1 A, tabela2 B'";
      $resultado = mysqli_query($conexao, $consulta) or die ("erro");
      while($busca = mysqli_fetch_array($resultado)){
       
      print $busca['cod_evento']; --> traz o código da tabela1 
      print $busca['titulo_evento']; -->  traz o titulo da tabela1
      print $busca['cod_noticia']; --> traz o código da tabela2
      print $busca['titulo_noticia']; --> traz o tituloda tabela2
       
      }
       
      Espero que entendam. Grato
       
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.