Защита паролей после взлома

[buslikdrev]

Кто ведает (существует-ли вообще она) функцию создания хэша пароля которая не будет совпадать, если сравнить пароль с хэшем на другом сервере (хостинге)? Например, эта функция должна подмешивать в хэш данные системы которые нельзя узнать средствами php.

 

Каково ваше мнение по поводу: 

https://github.com/ircmaxell/password_compat

https://github.com/opencart/opencart/blob/master/upload/system/library/cart/user.php

Спойлер

			if (password_verify($password, $user_query->row['password'])) {
				$rehash = password_needs_rehash($user_query->row['password'], PASSWORD_DEFAULT);
			} elseif (isset($user_query->row['salt']) && $user_query->row['password'] == sha1($user_query->row['salt'] . sha1($user_query->row['salt'] . sha1($password)))) {
				$rehash = true;
			} elseif ($user_query->row['password'] == md5($password)) {
				$rehash = true;
			} else {
				return false;
			}

			if ($rehash) {
				$this->db->query("UPDATE `" . DB_PREFIX . "user` SET `password` = '" . $this->db->escape(password_hash($password, PASSWORD_DEFAULT)) . "' WHERE `user_id` = '" . (int)$user_query->row['user_id'] . "'");
			}

 

 

Если:

Спойлер

<?
// php 7.0
$password = 123;

$hash = '$2y$10$wxLdEelrVD8j54OFCd8OQurdwdhPy6fNs0DFgVATdXN/Trk.5L8Yq';
if (password_verify($password, $hash)) {
	echo $hash . ' - пароль ' . $password . '<br>';
}
/* $hash = password_hash($password, PASSWORD_DEFAULT);
if (password_verify($password, $hash)) {
    echo $hash . ' - пароль ' . $password . '<br>';
} else {
    echo 'Пароль неправильный.';
} */

$hash = '$2y$10$79rBupcjDS69qBIQV2l81.MiVy36XhLzeqb0F7kzXtbeiTuuaEm.u';
if (password_verify($password, $hash)) {
	echo $hash . ' - пароль ' . $password . '<br>';
}
/* $hash = password_hash2($password, PASSWORD_BCRYPT);
if (password_verify($password, $hash)) {
    echo $hash . ' - пароль ' . $password . '<br>';
} else {
    echo 'Пароль неправильный.';
} */

function password_hash2($pass, $type = false) {
	return crypt($pass, '$2y$10$'.str_replace('+', '.', base64_encode(mcrypt_create_iv(22, MCRYPT_DEV_URANDOM))).'$');
}

 

 

Варианты которые не показывают разный результат на разных хостингах (серверах), а значит узнать пароль человека смогут со временем:

<?php //7.0
$password = 123;

//1)
$hash = hash('sha256', $password);
if ($hash == 'a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3') {
	echo $hash . ' - пароль найден = ' . $password . '<br>';
}

//2)
$hash = password_hash($password, PASSWORD_DEFAULT);
if (password_verify($password, $hash) && password_verify($password, '$2y$10$wxLdEelrVD8j54OFCd8OQurdwdhPy6fNs0DFgVATdXN/Trk.5L8Yq')) {
	echo $hash . ' - пароль найден = ' . $password . '<br>';
}

 

 

Решения и предложения:

1. Выводить при регистрации и смены пароля информацию о том, чтобы использовали уникальный пароль и объяснить почему. (действенный метод)

2. Установить валидацию при регистрации и смены пароля на проверку присутствия не менее одной буквы в верхнем и нижнем регистре, цифры и минимум от 8 символов. (усложнит задачу злоумышленникам)

3. Создать второй сервер в другой стране открыв доступ только между запросами сайтов для обмена токенами для получения соли. (усложнит задачу злоумышленникам)

4. Закубировать файл проверки паролей. (усложнит задачу злоумышленникам)

[esculapra]

Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться.

[drOC]

https://www.php.net/manual/en/function.password-hash.php

[buslikdrev]

5 часов назад, esculapra сказал:

Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться.

Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена.

 

2 часа назад, drOC сказал:

https://www.php.net/manual/en/function.password-hash.php

Не подходит - проверка проходит на разных хостингах.

[Venter]

13 минут назад, buslikdrev сказал:

Не подходит - проверка проходит на разных хостингах.

Ты пытаешься защитить пользователей???

 

А как на счет того что пользователь должен ставить разные пароли???

 

Избитая тема. Можно при регистрации создавать пользователю отдельный хеш и писать его в бд и при хешировании пароля добавлять этот самый хеш.

Что делать с авторизацией?  Логика - Если почта или логин такой есть то достаем хеш хешируем введеный пароль и сравниваем с тем что в бд

[Venter]

Ну а так вообще то можно для своего сайта или клиентского сделать соль пароля свою, можно два варианта

SALT_ONE.$password.SALT_TWO

так точно не будет совпадать с другими сайтами

[Venter]

 

31 минуту назад, buslikdrev сказал:

Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена.

 

Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые

[esculapra]

17 часов назад, buslikdrev сказал:

Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена.

1. хакера нужно не допустить! То есть уделить особое внимание безопасности.

2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку)

3. использовать SMS-аутентифика́цию сессии одноразовым паролем.

4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь.

Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены.

[Shureg]

21 час назад, buslikdrev сказал:

Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена.

К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу).
Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. 
Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 

[Shureg]

Давайте я вам пример приведу.

Вот с одного "сайта" хэш
0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640
и известна соль, приписывается к пасу в конце
abyrvalg1508221

с другого сайта хэш
0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d
и соль, аналогично
abyrvalg1408221

пасс одинаковый. И что вам (хакеру) это даст?

[buslikdrev]

Жаль программисты не дали своего комментария в теме.

[Shureg]

2 минуты назад, buslikdrev сказал:

Жаль программисты не дали своего комментария в теме.

А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений.

[buslikdrev]

12 минут назад, Shureg сказал:

А то этот из области суеверий и заблуждений.

Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал.

[Shureg]

2 минуты назад, buslikdrev сказал:

Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять.

Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете)))

[buslikdrev]

36 минут назад, Shureg сказал:

Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете)))

Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы.

[Shureg]

Только что, buslikdrev сказал:

Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы.

И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть.

[buslikdrev]

Только что, Shureg сказал:

Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть.

Ну развивайте мысль далее (много личных данных в зависимости от другого сайта).

[Shureg]

Только что, buslikdrev сказал:

Ну развивайте мысль далее (много личных данных в зависимости от другого сайта).

Мысль-то ваша, вы ее и развивайте) Я не телепат.