PHP के साथ 2-तरफा एन्क्रिप्शन को लागू करने का सबसे अच्छा तरीका क्या है?

Question

मैं PHP के भीतर 2-तरफा एन्क्रिप्शन का उपयोग करके अपनी साइट पर पासवर्ड एन्क्रिप्ट करना चाहता हूं। मैं mcrypt पुस्तकालय में आया हूँ, लेकिन यह बहुत बोझिल लगता है। किसी को भी किसी भी अन्य तरीकों के बारे में पता है जो आसान है, लेकिन फिर भी सुरक्षित है? मेरे पास ज़ेंड फ्रेमवर्क तक पहुंच है, इसलिए इसका उपयोग करने वाला एक समाधान भी करेगा।

मुझे वास्तव में 2-तरफा एन्क्रिप्शन की आवश्यकता है क्योंकि मेरा ग्राहक डीबी में जाना चाहता है और पासवर्ड बदलना चाहता है या इसे पुनर्प्राप्त करना चाहता है।

Answer 1

आपने पासवर्ड को टुकड़ों में बांटा संग्रहीत करना चाहिए (और properly salted) कर रहे हैं।

इस नियम को तोड़ने के लिए पर्याप्त दुनिया में कोई बहाना नहीं है।

वर्तमान में, crypt का उपयोग करके, CRYPT_BLOWFISH सर्वोत्तम अभ्यास है।
PHP में CRYPT_BLOWFISH Bcrypt हैश का कार्यान्वयन है। Bcrypt Blowfish ब्लॉक सिफर पर आधारित है।

• यदि आपका ग्राहक लॉगिन करने का प्रयास करता है, तो आपके पास दर्ज पासवर्ड है और इसे डीबी में संग्रहीत हैश से तुलना करें। यदि वे मेल खाते हैं, तो पहुंच प्रदान की जाती है।

• यदि आपका ग्राहक पासवर्ड बदलना चाहता है, तो उन्हें कुछ छोटी स्क्रिप्ट को कम करने की आवश्यकता होगी, जो कि नया पासवर्ड ठीक से रखता है और इसे डीबी में संग्रहीत करता है।

• यदि आपका ग्राहक पासवर्ड पुनर्प्राप्त करना चाहता है, तो एक नया यादृच्छिक पासवर्ड जेनरेट किया जाना चाहिए और अपने क्लाइंट को भेजना चाहिए। नए पासवर्ड का हैश डीबी

• में संग्रहीत किया जाता है यदि आपके ग्राहक वर्तमान पासवर्ड देखना चाहते हैं, वे भाग्य से बाहर हैं। और यह हैशिंग पासवर्ड का बिल्कुल सही बिंदु है: सिस्टम को पासवर्ड नहीं पता है, इसलिए इसे कभी भी 'देखा'/चोरी नहीं किया जा सकता है।

Jeff यह के बारे में ब्लॉग: You're Probably Storing Passwords Incorrectly

आप एक मानक पुस्तकालय का उपयोग करना चाहते हैं, तो आप पर एक नज़र ले सकता है: Portable PHP password hashing framework और आप CRYPT_BLOWFISH एल्गोरिथ्म का उपयोग सुनिश्चित करें।

(सामान्य शब्दों में, अपने डेटाबेस में रिकॉर्ड सीधे मुसीबत के लिए पूछ रहा है के साथ चारों ओर खिलवाड़।
कई बहुत अनुभवी डीबी सहित लोगों administrators- कि बाहर पाया है मुश्किल तरीके से।)

Answer 2

पासवर्ड एन्क्रिप्ट न करें। आपको वास्तव में उन्हें डिक्रिप्ट करने की आवश्यकता नहीं है, आपको केवल उन्हें सत्यापित करने की आवश्यकता है। मैक्रिप्ट का उपयोग करना कुछ भी करने से कहीं ज्यादा बेहतर नहीं है, क्योंकि यदि एक हैकर आपकी साइट में टूट गया है और एन्क्रिप्टेड पासवर्ड चुरा लिया है, तो वे शायद उन्हें एन्क्रिप्ट करने के लिए उपयोग की जाने वाली कुंजी चुरा सकेंगे।

अपने PHP अनुप्रयोग के लिए एक "पासवर्ड" फ़ंक्शन बनाएं जहां आप उपयोगकर्ता का पासवर्ड लेते हैं, इसे नमक के साथ संयोजित करते हैं और परिणामी स्ट्रिंग को शा -256 हैशिंग फ़ंक्शन के माध्यम से चलाते हैं और परिणाम लौटाते हैं। जब भी आपको पासवर्ड सत्यापित करने की आवश्यकता होती है, तो आपको केवल यह सत्यापित करने की आवश्यकता होती है कि पासवर्ड का हैश डेटाबेस में हैश से मेल खाता है।

http://phpsec.org/articles/2005/password-hashing.html

Answer 3

तुम सच में बाद में पासवर्ड पुनः प्राप्त करने की जरूरत है, आप कम से कम निजी और सार्वजनिक कुंजी का उपयोग करना चाहिए ताकि एक हमलावर ने निजी कुंजी (जो एक ही मशीन पर नहीं रखना चाहिए) की आवश्यकता होगी पासवर्ड को डिक्रिप्ट करने के लिए।

2 कार्यों इस लक्ष्य को पूरा करने के लिए openssl_public_encrypt() और openssl_private_decrypt()

Answer 4

या तो यह में स्टोर स्पष्ट, या पासवर्ड के हैश (यानी उलटा नहीं) स्टोर करें।

कुछ और करना - विशेष रूप से एक हार्ड-कोड वाली कुंजी के साथ सममित एन्क्रिप्शन का उपयोग करना - मूल रूप से व्यर्थ है।

यदि आप सुझाव देते हैं और आपकी मशीन से समझौता किया गया है, तो हमलावर को न केवल एन्क्रिप्टेड पासवर्ड तक पहुंच प्राप्त होती है, बल्कि कोड और कुंजी को डिक्रिप्ट करने की कुंजी भी होती है, इसलिए वे स्पष्ट रूप से भी संग्रहीत हो सकते हैं।

यदि आप मशीन पर भौतिक पहुंच प्राप्त करने वाले किसी व्यक्ति के खिलाफ अपना डेटा सुरक्षित रखना चाहते हैं, तो एन्क्रिप्टेड फाइल सिस्टम का उपयोग करें (लेकिन फिर भी इसमें डेटाबेस में स्पष्ट रूप से पासवर्ड को स्टोर करें)। बेशक प्रत्येक रीबूट, सिस्टम प्रयोग करने योग्य होने से पहले आपको मैन्युअल रूप से कुंजी दर्ज करना होगा।