Вопрос о хешировании хеш...

[cOAPerator]

можно ли хешировать хеш?
есть ли негативные стороны?
какова длинна строки 2 хешей (MD5) записанных в строку подряд? 64 символа вроде лолжна быть, правильно?
Какое хеширование лучше использовать для паролей?

[assai]

да в принципе можно ) ты же потом будешь хешь сравнивать с хешами ) я как-то делал и 3 раза и норм работало все, ясли я тебя правильно понял...

какова длинна строки 2 хешей (MD5) записанных в строку подряд?

хешь строка 32 симовла, две подрят 64...

ну а если md5(md5($var)) то 32 получиться...

плюсы... ну будет сложнее расшифровать пороль или что ты в хеше будешь хранить...

[cOAPerator]

assai, почти все ясно. только одно осталось - если делать md5(md5($var)) и писать в базу, то при приеме пароля от пользователя надо так-же делать md5(md5($введенный пароль)) или просто md5($введенный пароль) и сравнивать с тем что в базе?
то есть md5(md5($var)) НЕ равен md5($var)? верно?

[Kopc]

можно ли хешировать хеш?

Можно

есть ли негативные стороны?

Никаких, все это аналогично за исключением того что подобрать хеш сложней будет.

Какое хеширование лучше использовать для паролей?

На многих популярных CMS стоит именно md5(md5($array))
Скажу в пользу этого способа то что md5 это одностороннее кодирование а расшифровка хеша кулхацкерами идет за счет подбора значений. Понятно что какой-то хеш состоящий из 32 символов почти нереально подобрать.

---------- Сообщение добавлено 22:13 ---------- Предыдущее 22:11 ----------

то есть md5(md5($var)) НЕ равен md5($var)? верно?

Уху, первый вариант это хеш второго результата, при приеме пароля нужно естественно делать md5(md5($var))

[cOAPerator]

Kopc, на оф сайте php прочитал что крайне не рекомендуется использовать md5 и sha1 для хеширования паролей, пишут что лучше использовать функцию crypt(). источник
коментарии есть?

[assai]

Ну если лучше то используйте, в чем проблема...? crypt() сильнее за счет использования "соли", но в md5 в принципе тоже можно вставить самому такую соль, добавив строку какую нибудь к паролю....

[Kopc]

cOAPerator,
md5 крайне популярен и в обычном виде можно подбором найти нужные пароли.
потом идет md5(md5($var)), потом стали добавлять "Соль" (Проверочное слово)
crypt() позволяет выбрать метод хэширования (так кстати тот же самый md5 есть плюс соль)
Для обычных проектов не связанных с какой-либо крупной финансовой сферой достаточно md5(md5($var)).

Так же стоит понимать что рекомендации идут относительно того когда у злоумышленника уже есть ваша база.

[cOAPerator]

в чем проблема

никаких проблем))) просто пытаюсь выбрать оптимальный способ с закладкой на будущее.. например понадобится защита конфеденциальных данных - так даже переписывать не придется. как в рекламе - просто добавь воды)))
Kopc,

Так же стоит понимать что рекомендации идут относительно того когда у злоумышленника уже есть ваша база.

это я понял, внимательно читал)))
то есть md5(md5($pass).md5($solt)) где $solt = rand(0,99999) будет достаточно? и насколько такой алгоритм по стойкости сопостовим с crypt()? какой более стойкий выходит?

[assai]

стойкость будет зависеть от длины пороля...

например понадобится защита конфеденциальных данных

По стойкости сказать не могу, точно что будет надежнее... И я думаю вы понимаете, что эти функции не кодируют информацию, а создают на основе каких-то алгоритмов 32числа...

можно передать 100кб текста, а они все равно вернут 32 числа...

Для защиты я бы думал на предмет уязвимостей в скрипте... К примеру ограничение на кол-во попыток с баном...

[cOAPerator]

К примеру ограничение на кол-во попыток с баном...

ну это само собой))