Criptare username e password - php

ciao a tutti, avrei un problema con la sicurezza di php. Ho un file, contenente user e pass , ma come li posso criptare? Grazie e ciao

prova a guardare qui, dovresti avere vari metodi:

http://it.php.net/manual/it/function.crypt.php

EDIT: m edito, non si puo decriptare poi
ti converrebbe fare cosi: quando un utente si registra, cripti la sua password e la salvi nel file.
quando fa un login, cripti la password che immette e la verifichi con quella gia criptata nel file, in questo modo non la devi decriptare...

[dreadnaut]

uhm, per salvare le password solitamente non si criptano i dati, ma si salva l'hash invece della password stessa. Quando l'utente si logga, ti invia la password, e tu ricalcoli l'hash e lo confronti con quello memorizzato.

In questo modo TU non puoi sapere la password di un utente (che ad esempio potrebbe usarla per più siti) ma puoi solo resettarla

cfr. md5 e sha1

si beh era quello che intendevo...
non credevo si chiamasse hash :P
ma il concetto è lo stesso...

[dreadnaut]

uhm, ecco.... no, il concetto è diverso ed importante da specificare:

• criptare è un procedimento bidirezionale - se vuoi recuperi le informazioni
• calcolare un hash è un procedimento unidirezionale - non puoi risalire alla stringa originaria (*)

Non è bello dire ad un utente "scrivi pure la password, fidati che te la cripto io". Il modo corretto è "scrivi pure la password, in ogni caso io non la saprò mai"


(*) in teoria. L'enorme e pallosa teoria della criptanalisi trova prima o poi vie per farlo - e in caso di disperazione c'è il brute force, se si hanno a disposizione un paio di anni


edit: poi non voglio dire che crypt non vada bene eh
crypt usa funzioni di hash, e fa esattamento quello che serve (come da esempio nella guida), ma il nome non è il migliore

uhm uhm ok xD
ho eliminato un po di ignoranza asd...

vi ricordo che decifrare dati personali è punibile penalmente
nei dati personali è inserita anche la password!

un utente deve venire a conoscenza di un eventuale uso improprio della propria password e questo deve essere chiaro all'atto dell'iscrizione

vi ricordo che decifrare dati personali è punibile penalmente
nei dati personali è inserita anche la password!

un utente deve venire a conoscenza di un eventuale uso improprio della propria password e questo deve essere chiaro all'atto dell'iscrizione

Approposito di questa iscrizione, riguardo alle note di uso proprio o improprio etc...
cosa dovrei esattamente scrivere al momento della iscrizione? Che i dati sono riservati e non divulgati a terze parti, etc...

e sopratutto, in quel caso, che succede se mi entra uno nel sito e fa casini?

P.S. ricordo che ho un sito che non gestisce dati personali tipo nome, cognome e indirizzo, ma solo login e pass...

Approposito di questa iscrizione, riguardo alle note di uso proprio o improprio etc...
cosa dovrei esattamente scrivere al momento della iscrizione? Che i dati sono riservati e non divulgati a terze parti, etc...

dipende dall'uso che ne vorrai fare, in ogni modo deve essere chiaramente specificato (codice sulla privacy e trattamento dati personali)

e sopratutto, in quel caso, che succede se mi entra uno nel sito e fa casini?

potresti essere responsabile , la non curanza o negligenza in termini di sicurezza puo' essere sintomo di accondiscendenza (da Corte di cassazione).Comunque cerca di evitare spiacevoli intrusioni

P.S. ricordo che ho un sito che non gestisce dati personali tipo nome, cognome e indirizzo, ma solo login e pass...

esprimi chiaramente l'uso che ne farai sia di login e pass ti sollevi dai guai

grazie dell'avviso... avevo completamente tralasciato quell'aspetto eh eh....
Io ho creato una sorta di area download, uno per scaricare e inserire files si deve registrare, con nome e pass, nient'altro...

Vedrò di scrivere per bene eh eh

wow...sono uscito e mi ritrovo tutte ste' risposte!! Ora rispondo un pò io:
la funzione crypt() mi cripta sempre in modo diverso la password, quindi la devo scartare, ho appena letto e provato sha1 e funge benissimo! Grazie per gli aiuti e le risposte..ciao
p.s. cosa posso scrivere al momento dell'iscrizione come condizioni? I dati non vengono assolutamente fatti vedere...ciao
EDIT: c'è un modo per "decriptare lo sha1" ?

no, è irreversibile...

[Ospite]

Io farei così:

StringaDiHash = md5 ("chiave segreta" . md5( StringaIniziale ) );

E' impossibile decifrare un algoritmo simile.
Lo stesso vbulletin (il software di cui fa uso questo forum) utilizza l'algoritmo sopra descritto.

mh...ok! Grazie per le risposte ed i chiarimenti al riguardo...ciao

Io farei così:

StringaDiHash = md5 ("chiave segreta" . md5( StringaIniziale ) );

E' impossibile decifrare un algoritmo simile.
Lo stesso vbulletin (il software di cui fa uso questo forum) utilizza l'algoritmo sopra descritto.

ottima idea... allora optero per quello, a quel punto non devo preoccuparmi di note legali...

ottima idea... allora optero per quello, a quel punto non devo preoccuparmi di note legali...

Completamente errato!
Gli "esterni" (utenti in primis) non sanno che sistemi usi per cifrare i loro dati, e presumibilmente non gliene importa niente, ma tu devi metterli a conoscenza che tipo di trattamento avranno i dati che loro inseriscono.
E questa è una legge ben precisa (citata non ricordo da chi in questo topic).


Ciao!

Completamente errato!
Gli "esterni" (utenti in primis) non sanno che sistemi usi per cifrare i loro dati, e presumibilmente non gliene importa niente, ma tu devi metterli a conoscenza che tipo di trattamento avranno i dati che loro inseriscono.
E questa è una legge ben precisa (citata non ricordo da chi in questo topic).


Ciao!

Capito... grazie dell'informazione