Hash - sha1 - sha256 - md5 = HANGİSİ!

Merhabalar...

Bilenlere danışmak istediğim bir konuydu uzun zamandır...

Şifreleme meseleleri biraz karışık geldi bana...

Hangisini, hangi durumda seçmeliyiz sizce?

Alttaki 3 örnek içinde yorumlayabilecekleriniz ve kıyaslayabilecekleriniz varsa ve aydınlatırsanız sevinirim;

<?php
$pass1=password_hash($pass1, PASSWORD_DEFAULT);

$pass2 = md5($pass2);

$pass3 =sha1(md5(sha1($pass3)));   
?>

3.sü 2.sinden daha güçlü diye onu kullanıyorum...

1.örnek ile yeni karşılaştım, 3. örnek ile kıyaslar mısınız rica etsem...

Ayrıca 1. ve 3. örnekleri birleştirmek mümkün müdür ve bu daha iyi olur diyebilir miyiz?

Teşşekkür ederim şimdiden...

Ben password hash kullanıyorum projelerimde.  En güvenlisi o diye biliyorum ama 3.seçenek de güvenli sayılır.

Şu linki bi inceleyebilirsin hocam.

https://www.webcebir.com/293-php-ile-guvenli-sifreler-hashing-karistirma-dersi.html

Ben kendi projelerimde password_hash() kullaıyorum. Hem daha hızlı ve kullanımı kolay hemde en güvenlisi. Salt ekleyecek olursan tablo yapını Salt uzunuğuna göre ayarmak gerekiyor. 

password_hash() işlevi güçlü ve tek yönlü bir aşlama algoritması kullanarak yeni bir parola aşı oluşturur.

Kaynak: https://www.php.net/manual/tr/function.password-hash.php

ÖmerGünay adlı üyeden alıntı

Ben password hash kullanıyorum projelerimde.  En güvenlisi o diye biliyorum ama 3.seçenek de güvenli sayılır.

 

Şu linki bi inceleyebilirsin hocam.

 

https://www.webcebir.com/293-php-ile-guvenli-sifreler-hashing-karistirma-dersi.html

 Çok teşekkür ederim hocam katkın için...

bytokca adlı üyeden alıntı

Ben kendi projelerimde password_hash() kullaıyorum. Hem daha hızlı ve kullanımı kolay hemde en güvenlisi. Salt ekleyecek olursan tablo yapını Salt uzunuğuna göre ayarmak gerekiyor. 

 

password_hash() işlevi güçlü ve tek yönlü bir aşlama algoritması kullanarak yeni bir parola aşı oluşturur.

Kaynak: https://www.php.net/manual/tr/function.password-hash.php

 Teşekkür ederim katkınız için...

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

musti7084 adlı üyeden alıntı

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

Güzel cevap, değerli katkı...
Teşekkür ederim üstadım...

Şifre belirleme aşamasında "parolada büyük harf, rakam, özel karakter zorunluluğu" sağlayan bir script lazımdı zaten, onu araştırayım...

musti7084 adlı üyeden alıntı

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

Hocam düşüncelerinize katılmakla beraber eksik bildiğiniz bazı şeyler hakkında bilgi vermek istiyorum. Şifreleme algoritmaları tek yönlü çalışırlar evet burası doğru. Ama md5 ile password hash kıyaslayamazsınız. Şöyle örnek vermek gerekirse.

Parola : 123 diyelim.

Md5 çıktısı : 202cb962ac59075b964b07152d234b70

bu şekilde olacaktır. Bu hiç değişmeyecektir. Yani bir kişi kendi pc sinde bütün şifre alternatifleri için md5 ürettirip onu karşılaştırma yapsa bi şekilde tespit edebileceği bi şifre meyfana çıkıyor. Burda zor şifre seçilirse tabi ki de md5 de güvenlidir. Ama bi şekilde veritabanı bilgilerinizi ele geçirirlerse çıktısı sabit olan bir şifreyi bulmak daha kolay olacaktır.

Password hash olayına gelecek olursak.

Parola: 123 diyelim yine.

Password hash çıktısı : $2y$10$bpW.W0ygNed9KUDeW0tDbeP2whJ3hbiVs7Kwav/yxbdbY6sZR8Ri2

bu şekilde bir çıktı üretecektir. Her sayfa yenilediğinizde farklı bir varyasyon ile gelecektir. Yani sabit değildir. Sizdeki 123 bu şekilde iken bendeki 123 farklı gelecektir. Bundan dolayı karşılaştırma yaparak şifre tespit etmek isteyenlerin şifrenizi tespit etmesi mümkün olmayacaktır. Bu çıktı default ayarlar ile bu şekilde gelmektedir. Buna artı olarak ekstra ayarlar eklenip daha da karmaşık hale getirilebilir.

Özet olarak sizin dediğiniz gibi üyelere şifrelerini daha karmaşık yapma yönünde zorlamalar yapmak gerekir. Ama şifre algoritmalarından hangisi daha iyidir diye sorulacak olursa tabiki password hash daha iyi olacaktır. Çünkü şifresi 123 olanı bile çözmek biraz zaman alacaktır. Ama md5 olanda 123 olan direk çözülecektir.

Saygılar.

ÖmerGünay adlı üyeden alıntı

musti7084 adlı üyeden alıntı

Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka

 

Hocam düşüncelerinize katılmakla beraber eksik bildiğiniz bazı şeyler hakkında bilgi vermek istiyorum. Şifreleme algoritmaları tek yönlü çalışırlar evet burası doğru. Ama md5 ile password hash kıyaslayamazsınız. Şöyle örnek vermek gerekirse.

 

Parola : 123 diyelim.

Md5 çıktısı : 202cb962ac59075b964b07152d234b70

 

bu şekilde olacaktır. Bu hiç değişmeyecektir. Yani bir kişi kendi pc sinde bütün şifre alternatifleri için md5 ürettirip onu karşılaştırma yapsa bi şekilde tespit edebileceği bi şifre meyfana çıkıyor. Burda zor şifre seçilirse tabi ki de md5 de güvenlidir. Ama bi şekilde veritabanı bilgilerinizi ele geçirirlerse çıktısı sabit olan bir şifreyi bulmak daha kolay olacaktır.

 

Password hash olayına gelecek olursak.

 

Parola: 123 diyelim yine.

Password hash çıktısı : $2y$10$bpW.W0ygNed9KUDeW0tDbeP2whJ3hbiVs7Kwav/yxbdbY6sZR8Ri2

 

bu şekilde bir çıktı üretecektir. Her sayfa yenilediğinizde farklı bir varyasyon ile gelecektir. Yani sabit değildir. Sizdeki 123 bu şekilde iken bendeki 123 farklı gelecektir. Bundan dolayı karşılaştırma yaparak şifre tespit etmek isteyenlerin şifrenizi tespit etmesi mümkün olmayacaktır. Bu çıktı default ayarlar ile bu şekilde gelmektedir. Buna artı olarak ekstra ayarlar eklenip daha da karmaşık hale getirilebilir.

 

 

Özet olarak sizin dediğiniz gibi üyelere şifrelerini daha karmaşık yapma yönünde zorlamalar yapmak gerekir. Ama şifre algoritmalarından hangisi daha iyidir diye sorulacak olursa tabiki password hash daha iyi olacaktır. Çünkü şifresi 123 olanı bile çözmek biraz zaman alacaktır. Ama md5 olanda 123 olan direk çözülecektir.

 

Saygılar.

 
Çok güzel bir anlatım olmuş üstadım emeğinize sağlık...

Hash + güçlü bir şifre

ŞEKLİNDE FORMÜLÜMÜZÜ NETLEŞTİRELİM, ORTADA BULUŞALIM VE DAĞILALIM... ; )