Skripta za zaboravljenu lozinku

[suad]

Pozdrav!
Napravio sam skriptu za registraciju i login na sajt, e sad me zanima kako da napravim npr. kad korisnik zaboravi lozinku da može zatražiti ponovo da mu se pošalje na mail, možete li mi reći kako da izvadim lozinku iz md5.

Hvala na pomoći!

[schmrz]

Password ne možeš dobiti iz md5-a. To je jednosmjerna kripto hash funkcija koja se koristi baš iz tog razloga da i ako neko uspije doći do tvog passworda u md5 obliku, neće moći saznati koji je password...

[Gogy]

Kao što schmrz kaže, iz md5 ne možeš dobit natrag password... Predlažem sljedeću soluciju: Ako korisnik klikne da je zaboravio password, i upiše na koji mail da mu dođe, ti mu pošalji email sa nekim automatski generiranim linkom (npr. neki random broj sa md5 enkripcijom), u obliku index.php?zaboravljenpass.php&num=df5456d45fdg56sd56df4g46dfg4d54

Ako korisnik klikne na taj link provjeriš da li je dobar taj random broj, tj. da li se podudara sa random brojem za tog korisnika, ako se podudara ponudiš mu formu za upisivanje novog passworda.

[kecko]

nemožeš vaditi lozinku iz md5, koliko ja znam imaš 2 načina, brute force (ako je više slova nema šanse da nađeš) i dictionary na webu di opet ak je dobra lozinka ti ju neće naći, no pošto ti to trebaš za zaboravljen password onda je stvar drukčija i ti bi mogao poslati taj hashan pass na mail pa onda ponudit da si zamjeni lozinku...

[GoodGuy93]

hej.. ja se ne bavim php-om, iako namjeravam, ali mi nije jasno zašto pohraniti nešto (u ovom slučaju lozinku) u taj md5 ako ne možeš čitat iz tog formata?! koja je svrha onda?

[danielvast]

Pa svoju lozinku bi samo trebao zanati korisnik i nitko drugi, ali je lozinku potrebno i pohraniti jer da ju ne pohranimo korisnik se ne bi mogao logirati na svoj account. Sad kako rijesiti taj problem jedan od načina je da lozinku koju korisnik unese pri registraciji hash-iramo i spremimo u bazu podataka! Tada ju nitko nemože čitati(ne bi trebao)! Kada se korisnik vrati na stranicu i pokusa se logirati unese lozinku koju naravno hash-iramo zatim usporedimo sa lozinkom koja je zapisana u bazi (koju smo pri registraciji hash-irali) ukoliko se poklapaju omogućava se pristup korisniku ukoliko ne pogrešna lozinka i/ili naravno korisničko ime!I tako smo osigurali da lozinka moze biti poznata samo korisniku i nikome drugo evo jedan mali link nadam se da ce ti pomoc http://en.wikipedia.org/wiki/MD5 POZZ

[GoodGuy93]

ma kužim ja sve to..

nego, netko je spomenuo da se iz md5 ne mogu čitati podaci.. i sad znači, ti spremiš nečiju lozinku u md5 i sljedeći put kada se taj korisnik želi prijaviti, upiše svoju lozinku i sad se treba ta lozinka usporedit sa onom u md5-u.. a kako to napravit kad se iz md5-a ne mogu čitat podaci?!

e to meni nije jasno.........

[Gogy]

Ne možeš izvuć "čisti" password iz kriptiranog, ali možeš taj "čisti" password kriptirati pa usporediti s onim iz baze:

PHP Code:

$kriptiranPassword = "fs45df9thf84h6te8z9f5v2g6546dfdgfd"; // ovo je password u bazi kriptiran sa md5

$password = "lozinka123"; // ovo je korisnikov password

if(md5($password) == $kriptiranPassword) 
{
   ...
} 


[GoodGuy93]

kužim sad.. znači ipak se može čitat iz md5-a...

ali vjerojatno onda postoji i neki algoritam suprotan onomu koji kriptira tekst, znači koji vraća kriptirani tekst u 'čisti'.... a može se i bruto forceom probit, kao što je već netko spomenuo...

malo smo skrenuli s teme, ali to je već uobičajeno.. hahahahhaha :)

[Gogy]

GoodGuy93 Wrote:kužim sad.. znači ipak se može čitat iz md5-a...

Izgleda da ipak ne kužiš :)

Ne, ne može se čitat iz md5 u "čisti" tekst i ne postoji algoritam za to, to smo već puno puta u ovom topicu rekli. Na stranu brute force metode, one se ne koriste za stvari tipa zaboravljene lozinke.
Da postoji funkcija koja vraća čisti tekst iz md5 enkripcije, onda nebi uopće postojala potreba za md5 enkripcijom. Cilj enkripcije je da, ako neki hacker na neki način dođe do baze, da ima enkriptirani password, da ne može vidjeti što u njemu zapravo piše. Postoje tvz. brute force metode, ali ako ćeš ti lozinku PeroXpress!$@56zzXY! enkriptirat, razbijanje bi moglo potrajat nekoliko desetljeća...