lostyazilim
tr.link

Hash - sha1 - sha256 - md5 = HANGİSİ!

9 Mesajlar 1.641 Okunma
acebozum
tr.link

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

Merhabalar...

Bilenlere danışmak istediğim bir konuydu uzun zamandır...

Şifreleme meseleleri biraz karışık geldi bana...

Hangisini, hangi durumda seçmeliyiz sizce?

Alttaki 3 örnek içinde yorumlayabilecekleriniz ve kıyaslayabilecekleriniz varsa ve aydınlatırsanız sevinirim;

<?php
$pass1=password_hash($pass1, PASSWORD_DEFAULT);

$pass2 = md5($pass2);

$pass3 =sha1(md5(sha1($pass3)));   
?>

 

3.sü 2.sinden daha güçlü diye onu kullanıyorum...

1.örnek ile yeni karşılaştım, 3. örnek ile kıyaslar mısınız rica etsem...

Ayrıca 1. ve 3. örnekleri birleştirmek mümkün müdür ve bu daha iyi olur diyebilir miyiz?

Teşşekkür ederim şimdiden...

 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
elektronikssl
webimgo

OmerGunay OmerGunay https://omergunay.net Kullanıcı
  • Üyelik 15.05.2015
  • Yaş/Cinsiyet 33 / E
  • Meslek PHP Developer
  • Konum İstanbul Avrupa
  • Ad Soyad Ö** G**
  • Mesajlar 1207
  • Beğeniler 382 / 381
  • Ticaret 16, (%100)

Ben password hash kullanıyorum projelerimde.  En güvenlisi o diye biliyorum ama 3.seçenek de güvenli sayılır.

 

Şu linki bi inceleyebilirsin hocam.

 

https://www.webcebir.com/293-php-ile-guvenli-sifreler-hashing-karistirma-dersi.html

BEYAZMASTER

kişi bu mesajı beğendi.

Herkes yediğinden ikram eder..(Yavuz Sultan Selim)

bytokca bytokca WM Aracı Kimlik Onayı
  • Üyelik 29.11.2012
  • Yaş/Cinsiyet 39 / E
  • Meslek Yazılım
  • Konum Konya
  • Ad Soyad H** T**
  • Mesajlar 48
  • Beğeniler 1 / 26
  • Ticaret 1, (%100)

Ben kendi projelerimde password_hash() kullaıyorum. Hem daha hızlı ve kullanımı kolay hemde en güvenlisi. Salt ekleyecek olursan tablo yapını Salt uzunuğuna göre ayarmak gerekiyor. 

 

password_hash() işlevi güçlü ve tek yönlü bir aşlama algoritması kullanarak yeni bir parola aşı oluşturur.

Kaynak: https://www.php.net/manual/tr/function.password-hash.php

BEYAZMASTER

kişi bu mesajı beğendi.

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

ÖmerGünay adlı üyeden alıntı

Ben password hash kullanıyorum projelerimde.  En güvenlisi o diye biliyorum ama 3.seçenek de güvenli sayılır.

 

Şu linki bi inceleyebilirsin hocam.

 

https://www.webcebir.com/293-php-ile-guvenli-sifreler-hashing-karistirma-dersi.html

 Çok teşekkür ederim hocam katkın için...

 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
wmaraci
wmaraci

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

bytokca adlı üyeden alıntı

Ben kendi projelerimde password_hash() kullaıyorum. Hem daha hızlı ve kullanımı kolay hemde en güvenlisi. Salt ekleyecek olursan tablo yapını Salt uzunuğuna göre ayarmak gerekiyor. 

 

password_hash() işlevi güçlü ve tek yönlü bir aşlama algoritması kullanarak yeni bir parola aşı oluşturur.

Kaynak: https://www.php.net/manual/tr/function.password-hash.php

 Teşekkür ederim katkınız için...

 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

musti7084 musti7084 WM Aracı Kullanıcı
  • Üyelik 06.03.2015
  • Yaş/Cinsiyet 25 / E
  • Meslek öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad M** A**
  • Mesajlar 219
  • Beğeniler 72 / 46
  • Ticaret 3, (%100)

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

BEYAZMASTER

kişi bu mesajı beğendi.

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

musti7084 adlı üyeden alıntı

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

Güzel cevap, değerli katkı...
Teşekkür ederim üstadım...

Şifre belirleme aşamasında "parolada büyük harf, rakam, özel karakter zorunluluğu" sağlayan bir script lazımdı zaten, onu araştırayım...

 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

OmerGunay OmerGunay https://omergunay.net Kullanıcı
  • Üyelik 15.05.2015
  • Yaş/Cinsiyet 33 / E
  • Meslek PHP Developer
  • Konum İstanbul Avrupa
  • Ad Soyad Ö** G**
  • Mesajlar 1207
  • Beğeniler 382 / 381
  • Ticaret 16, (%100)

musti7084 adlı üyeden alıntı

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

 

Hocam düşüncelerinize katılmakla beraber eksik bildiğiniz bazı şeyler hakkında bilgi vermek istiyorum. Şifreleme algoritmaları tek yönlü çalışırlar evet burası doğru. Ama md5 ile password hash kıyaslayamazsınız. Şöyle örnek vermek gerekirse.

 

Parola : 123 diyelim.

Md5 çıktısı : 202cb962ac59075b964b07152d234b70

 

bu şekilde olacaktır. Bu hiç değişmeyecektir. Yani bir kişi kendi pc sinde bütün şifre alternatifleri için md5 ürettirip onu karşılaştırma yapsa bi şekilde tespit edebileceği bi şifre meyfana çıkıyor. Burda zor şifre seçilirse tabi ki de md5 de güvenlidir. Ama bi şekilde veritabanı bilgilerinizi ele geçirirlerse çıktısı sabit olan bir şifreyi bulmak daha kolay olacaktır.

 

Password hash olayına gelecek olursak.

 

Parola: 123 diyelim yine.

Password hash çıktısı : $2y$10$bpW.W0ygNed9KUDeW0tDbeP2whJ3hbiVs7Kwav/yxbdbY6sZR8Ri2

 

bu şekilde bir çıktı üretecektir. Her sayfa yenilediğinizde farklı bir varyasyon ile gelecektir. Yani sabit değildir. Sizdeki 123 bu şekilde iken bendeki 123 farklı gelecektir. Bundan dolayı karşılaştırma yaparak şifre tespit etmek isteyenlerin şifrenizi tespit etmesi mümkün olmayacaktır. Bu çıktı default ayarlar ile bu şekilde gelmektedir. Buna artı olarak ekstra ayarlar eklenip daha da karmaşık hale getirilebilir.

 

 

Özet olarak sizin dediğiniz gibi üyelere şifrelerini daha karmaşık yapma yönünde zorlamalar yapmak gerekir. Ama şifre algoritmalarından hangisi daha iyidir diye sorulacak olursa tabiki password hash daha iyi olacaktır. Çünkü şifresi 123 olanı bile çözmek biraz zaman alacaktır. Ama md5 olanda 123 olan direk çözülecektir.

 

Saygılar.

BEYAZMASTER

kişi bu mesajı beğendi.

Herkes yediğinden ikram eder..(Yavuz Sultan Selim)

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

ÖmerGünay adlı üyeden alıntı

musti7084 adlı üyeden alıntı

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

 

Hocam düşüncelerinize katılmakla beraber eksik bildiğiniz bazı şeyler hakkında bilgi vermek istiyorum. Şifreleme algoritmaları tek yönlü çalışırlar evet burası doğru. Ama md5 ile password hash kıyaslayamazsınız. Şöyle örnek vermek gerekirse.

 

Parola : 123 diyelim.

Md5 çıktısı : 202cb962ac59075b964b07152d234b70

 

bu şekilde olacaktır. Bu hiç değişmeyecektir. Yani bir kişi kendi pc sinde bütün şifre alternatifleri için md5 ürettirip onu karşılaştırma yapsa bi şekilde tespit edebileceği bi şifre meyfana çıkıyor. Burda zor şifre seçilirse tabi ki de md5 de güvenlidir. Ama bi şekilde veritabanı bilgilerinizi ele geçirirlerse çıktısı sabit olan bir şifreyi bulmak daha kolay olacaktır.

 

Password hash olayına gelecek olursak.

 

Parola: 123 diyelim yine.

Password hash çıktısı : $2y$10$bpW.W0ygNed9KUDeW0tDbeP2whJ3hbiVs7Kwav/yxbdbY6sZR8Ri2

 

bu şekilde bir çıktı üretecektir. Her sayfa yenilediğinizde farklı bir varyasyon ile gelecektir. Yani sabit değildir. Sizdeki 123 bu şekilde iken bendeki 123 farklı gelecektir. Bundan dolayı karşılaştırma yaparak şifre tespit etmek isteyenlerin şifrenizi tespit etmesi mümkün olmayacaktır. Bu çıktı default ayarlar ile bu şekilde gelmektedir. Buna artı olarak ekstra ayarlar eklenip daha da karmaşık hale getirilebilir.

 

 

Özet olarak sizin dediğiniz gibi üyelere şifrelerini daha karmaşık yapma yönünde zorlamalar yapmak gerekir. Ama şifre algoritmalarından hangisi daha iyidir diye sorulacak olursa tabiki password hash daha iyi olacaktır. Çünkü şifresi 123 olanı bile çözmek biraz zaman alacaktır. Ama md5 olanda 123 olan direk çözülecektir.

 

Saygılar.

 
Çok güzel bir anlatım olmuş üstadım emeğinize sağlık...

Hash + güçlü bir şifre

ŞEKLİNDE FORMÜLÜMÜZÜ NETLEŞTİRELİM, ORTADA BULUŞALIM VE DAĞILALIM... ; )

OmerGunay

kişi bu mesajı beğendi.

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al