هل سيكون جيدا تشفير كلمة المرور بـ md5 و sha1 وعكس الناتج وتكرار العملية عدد من المرات ؟

يستحسن استعمال المصطلح "هاش - hash" وليس تشفير.

الإجابة هي لا، ليست طريقة جيدة.

العيوب:

• الطريقة سريعة مع تكرار مثل 4 أو حتى 100، يجب أن تستخدم دالة hash أو hmac على الأقل 10,000 مرة لإبطاء التخمين فعليا.

• أنت لا تستعمل salt و هو سلسلة عشوائية من البيانات (و يجب أن تولد واحد لكل مستخدم) و هو للوقاية من هجمات القواميس أو ملفات فيها عدد كبير من الهاشات لأشهر كلمات المرور.

• أنت تستخدم خوارزميات hash غير آمنة و احتمال وجود hash وجود هاش واحد لمدخلين مختلفين كبير خاصة مع md5.

• تستخدم تقنيات عشوائية لا معنى لها مثل قلب الناتج و لا تضيف شيء في الأمان.

الحلول:

• استخدم فقط الخوارزمية sha256 و ليس md5 أو sha1.

• لا تبتكر طريقتك إن لم تبحث كثيرا في موضوع هاشات كلمات المرور.

• استخدم طريقة موحدة و متفق عليها لعمل hash أو key derivation مثل PBKDF2 فيمكنك أن تختار الخوارزمية التي تريدها أن تعمل فيها وينصح بـ sha256 و فيها كذلك تقدر تدخل عدد التكرارات التي تريدها وتقدر تحدد طول المخرج (ينصح بتحديد 32).

 الخوارزمية PBKDF2 هي طريقة موحدة جاهزة معروفة بـ:

dk = PBKDF2(PRF, Password, Salt, c, dkLen)

حيث dk هو الخرج و الذي هو مثل الهاش و PRF هو مدخل الخوارزمية المرغوب في استخدامها (حدد sha256)، و c هو عدد التكرارات حدد 10,000 و dkLen حدد 32 أي 32 بايت مثل طول خرج sha256. لاحظ أن طول md5 هو 16 بايت، في ويكيبيديا يمكنك أن تجد معلومات مفصلة عن خصائص كل خوارزمية هاش.

اللغة php 5.5.0 وأحدث فيها PBKDF2، إن كان الخادم قديم ابحث في Google عن مكتبات لـ PBKDF2 هي منتشرة.

PBKDF2 تستعمل في البرامج الحساسة ومواقع الويب العالية الجودة والتي تحتاج أمن مثل موقع LastPass

هذا مثال حول الخطوات الأساسية لكن لا تستعمله، استعمل PBKDF2 لأنها موحدة ومختبرة كثيرا

التشفير ليس مجالا للاجتهاد الشخصي. تعلم إستخدام مكتبة مشهود لها بالكفاءة بدلا من ذلك.

التنسيق سيء اعتذر وهناك مشكلة في الترقيم يرجى التعديل @khelll

يمكنك استعمال دالة من المستحيل فك تشفيرها اسمها password_hash اذا اردت ان اشرحها لك اخبرني