ציטוט:
נכתב במקור על ידי ~The_Sultan~
אם סתם תוסיף ערך משלך לסיסמאות של המשתמשים שלך, גם אם הוא יהיה קשה, עדיין תהיה סבירות גבוהה שמשתמשים בעלי אמצעים יפענחו אותו. בגלל זה יש כל מיני שיטות ועקיפות שצריך להשתמש גם בהן, כמו למשל שימוש ב-MD5+SHA1+UNIQID+מפתח שלך (שכדאי שיכלול תווים כמו ☺╚♀♫ ואותיות בעברית, פשוט כי בדר"כ לא מכלילים תווים כאלו בקבצי ענק).
|
אז זהו.. שאתה טועה.
הפריצה בדרך כלל מתבצעת
אחרי שכבר פרצו לך לשרת ורוצים לגלות בעזרת כוח בורטלאי מה פשר הסיסמה המוגנת. הפתרון בדרך כלל יהיה כוח ברוטאלי ובמקרים נדירות מאוד מאוד שחזור של ההצפנה(לא נתקלתי בזה עוד ל MD5).
הוספת סלט מסובך זה מגניב, אבל אין צורך לסבך עם איידי וכל מיני שטויות..
ולגבי UniqID. מה יקרה כשאנסה להתחבר כעבור דקה? איך הפעולה שלך תשחזק ותוסיף את אותו uniqID? האא.. תשמור בבסיס בנתונים? בזבוז ענק של משאבים לחינם.
*לסיכום: אין צורך להסתבך יותר מידי בסיסמא, וגם MD5 יספיק. אם תבנו פייסבוק או מערכת לבנקים.. אולי שווה להשקיע גם קצת מאות אלפי דולרים בפיתוח הצפנה אמיתית(כזו עם אלגוריתם מתמטי ולא ערבוביה של מתודות) או ברכישה.