Suppression des caractères d'un mot de passe pour améliorer la sécurité?

J'ai une idée en lisant sur MD5 () qui produit des hashs des mots de passe. Le problème est que si une personne hacks la base de données qu'ils peuvent extraire les mots de passe en utilisant les tables arc-en. Beaucoup d'utilisateurs utilise le même mot de passe partout et si la base de données contient des e-mails le pirate pourrait trouver quelques informations immobiliers privés, et les utilisateurs se met en colère sur le site de la fuite de leur mot de passe.
Au moins je le ferais. gif "alt =": lol: "title =" Laughing ">

Mais j'ai eu une idée pour faire la base de données presque complètement inutile, mais ce n'est pas été complètement sans faille et je tiens à entendre les pensées sur l'idée. Disons que nous avons un site où l'utilisateur doit s'inscrire et choisir un mot de passe d'au moins 8 caractères. Le site puis cependant supprime les 3 derniers caractères et la remplacer par une chaîne comme "abc" et aux "hash du mot de passe. Fondamentalement, ce que cela devrait faire: si un pirate obtient la base de données et compromet la hache, il serait là avec "la moitié" des mots de passe, à peu près faire les mots de passe inutiles même si l'utilisateur a le même mot de passe sur plusieurs sites.

Le pirate ne peut alors deviner si il / elle veut la sorcière pleine de mots de passe rend la consommation du temps de travail, et donne beaucoup de temps aux utilisateurs de changer leurs mots de passe.

La seule faiblesse de cette situation serait que les mots de passe lors de la connexion devient plus court et peut-être des utilisateurs est plus facile de bruteforce, si un pirate veux juste que les connexion à notre site par exemple. Par exemple, si le mot de passe des utilisateurs est la suivante: "ne nothack", le pirate aurait réussi à se connecter avec un deviner comme: "ne nothave" depuis les trois dernières seront remplacées par abc dans tous les cas, puis hachés. Y at-il un moyen de contourner cette faiblesse? gif "alt =" 8) "title =" Cool "> Que pensez-vous de l'idée?

1) Remplacer un certain nombre pour chaque lettre, respectivement à leur ordre dans l'alphabet...a, b et c serait de 1, 2 et 3 respectivement z, y, et x serait de 26, 25 et 24 respectivement. Puis, multiplier chaque nombre ensemble (Si le mot de passe est abc, puis 1x2x3), puis md5 le résultat final. Vous pouvez utiliser une variante de cette idée ou quelque chose pour faire un hachage de mot de passe plus sécurisé.

2) MD5 du mot de passe et la valeur $ haché. MD5 du mot de passe MD5d et réglez hashed2 $. Mélanger le haché avec hashed2 $ $ et MD5 nouveau.

3) Utiliser un sel différent aléatoire pour chaque mot de passe.

4) Ne votre idée, mais au lieu de remplacer les 3 dernières lettres, il suffit d'ajouter des lettres aléatoires entre les lettres du mot de passe soumis...ou juste après le mot de passe.

5) Hash le mot de passe en arrière. (Si l'utilisateur ne nothack soumis, de hachage comme kcahtnod).


Je sais pas si ces suggestions de travail...juste essayer d'être créatif

Merci pour votre entrée Bogey.

Toutes vos suggestions sont bonnes et devraient le piratage plus difficile les hachages puisqu'elles éliminent les mots communs (la sorcière est probablement le premier un hacker d'essai pour). Suggestion 2, semble très compliqué Tho et Im pas sûr de ce que la sortie serait, mais doit protéger ORIGINAL passer je suppose. : O

Je suppose que ma proposition combinant avec un sel n'est pas une question et une très bonne façon de faire des tables arc-en-"même" moins utiles. Toutefois, le point avec le remplacement au lieu de simplement insérer supplémentaire (s) serait que même si le serveur est sévèrement compromis et le code PHP est une fuite avec la base de données, il n'ya toujours pas moyen d'obtenir les 3 derniers sans deviner. Si vous ajoutez disons 4 lettres à la fin cela peut être vu sur le code PHP de sorte que le pirate peut, s'il fissures les hachages probablement juste enlever les 4 caractères de famille à chaque événement et aurait le mot de passe des utilisateurs.

Le point avec mon code, c'est que même si vous la main du hacker la base de données et le code PHP et il fissures partie ou la totalité des hachages il aurait toujours aucun moyen de savoir ce que les 3 derniers est, puisque ce n'est pas stocké n'importe où. Et les utilisateurs avec le même mot de passe sur (email) ou similaire est un peu plus sécurisé. (Je l'espère)

Quoi qu'il en soit Im pas un expert afin Im juste deviner.

= P