Citat:
|
Ursprungligen postat av SimonP
Citat:
|
Ursprungligen postat av Jonas
Kod:
function generateHash($plainText, $salt = null)
{
* *if ($salt === null)
* * * *$salt = substr(md5(uniqid(rand(), true)), 0, SALT_LENGTH);
* *else
* * * *$salt = substr($salt, 0, SALT_LENGTH);
* *return $salt . sha1($salt . $plainText);
}
Varför inte något sådant?
|
Denna funktion är inte så bra av två anledningar:
-salt läggs på före lösenordet
-funktionen rand() är dålig, mt_rand() rekommenderas för kryptofunktioner
|
Nu har jag saltet längst bak men har funderat lite på varför man egentligen gör det? På vilket sätt blir bruteforce svårare?
Att bruteforca antingen xxxxxxxxxxf3931e5339f5073b23188d1b357715a0 eller f3931e5339f5073b23188d1b357715a0xxxxxxxxxx bör väl kräva samma antal försök?
Obs. är måndag idag så hjärnan är inte riktigt igång än
