Jag har precis skrivit klart ett script i PHP för ett litet projekt jag håller på med och tänkte faktiskt dela med mig av det. Jag vill börja med att säga att jag inte vet om den korrekta benämningen för en loop hash är ”multiple runs”, men jag hade det någonstans i bakhuvudet och det låter bra.
Syftet med scriptet är alltså att skapa ett säkert lösenord som man sedan sparar undan i databasen (eller fil). Eftersom det inte är rekommenderat att endast hasha ett lösenord så behövs det även ett salt för att utöka säkerheten för brute force attacker mm. Jag kör även en multiple run för att ytterligare utöka säkerheten. Men vad man måste förstår är att detta enbart är vad jag vill kalla, ”ett segt moment” för en hackare som lyckats få åtkomst till lösenorden.
Det ger dig tid att reagera och byta ut alla lösenord…
Scriptet är uppbyggt i funktioner och allting är kommenterat. Jag har även längst ner skrivit hur man ska göra för att kontrollera ett lösenord från inlogging, mot det som finns i databasen eller vart du nu har sparat användaruppgifterna.
[php]
/*
Skapad av Kristoffer Geiser - 2008-02-29
Användare får använda, modifiera detta script så som de själva önskar.
*/
//Funktion som behandlar lösenordet
function password ($password, $runs){
$password = md5($password);
for($i=0; $i <= $runs; $i++){
$password = sha1($password);
}
return $password;
}
//Funktion som skapar ett salt
function salt (){
$chars = "8!b9yea@of,g5ic¤j2d3k4_l7mhrn%#ps&t6uqvx-.1";
$length = strlen($chars);
for($i=0; $i <= $length; $i++){
$runs = mt_rand(0,$length);
$salt .= substr($chars, $runs, 1);
}
return sha1($salt);
}
//Funktion som fogar ihop löseordet och saltet i en loop med sha1
function fuse ($password, $salt, $runs){
for($i=0; $i <= $runs; $i++){
$fused = sha1("$password @:_:@ $salt");
}
return $fused;
}
//Det lösenord som ska skyddas
$losenord = "lösenordet";
//Detta slumpar fram ett värde som används för multiple runs.
//SPARAS I DATABASEN
$runs = mt_rand(1,99);
//Skickar lösenordet till funktionen password. Får tilbaka det hashat ett antal gånger.
$gen_losen = password($losenord, $runs);
//Anropar funktionen salt som skickar ett hashat salt.
//SPARAS I DATABASEN
$gen_salt = salt();
//Anropar fuse som bakar ihop salt och löseord och hashar det ett antal gånger
//SPARAS I DATABASEN
$gen_fuse = fuse($gen_losen, $gen_salt, $runs);
//########################################################################################
//Exempel vid inmatat lösenord
//########################################################################################
/*
För att förstå denna del så får ni tänka er att användaren redan är registrerad och att följande värden finns sparade i databasen:
$runs
$gen_salt
$gen_fuse
I delen nedan illustrerar vi hur man återanvänder funktionerna för att generera och matcha ett lösenord som en användare skickat
när dem loggat in.
*/
//$inmatat är variablen vars innehåll är det lösenord som användaren försöker logga in med
//Se till att använda mysql_real_escape_string() eller något annat skydd innan du hämtar värden från databasen
$inmatat = "lösenordet";
//$db_salt är variablen vars innehåll är hämtat från databasen, baserat på exempelvis användarnamnet man matade in vid inloggningen
$db_salt = "salt från databasen";
//$db_runs är variablen vars innehåll är hämtat från databasen, baserat på exempelvis användarnamnet man matade in vid inloggningen
$db_runs = "loop värdet från databasen";
//Här anropas funktionerna som behövs och vi får tillbaka ett lösenord som sparas i $check_pass.
//Vi kan sedan matcha detta lösenord mot det lösenord som finns i databasen, baserat på exempelvis användarnamnet
//som matades in vid inloggningen
$check_pass = fuse(password($inmatat, $db_runs), $db_salt, $db_runs);
//Här är ett exempel på hur man kan matcha lösenordet
//$databas_losen innehåller det ihop fogade lösenordet och saltet som lagrats i databasen vid registreringen
if($check_pass == $databas_losen){ echo "Grattis!"; }
else{ echo "Ditt lösenord matchade inte!"; }
?>[/php]
