Jag börjar med ett mycket förenklat exempel på hur man krypterar ett lösenord.
Om lösenordet är "RunkaBulle" och vi kör enligt algoritmen
R+u+n+k+a+B+u+l+l+e=via dess ascii-värden-> 82+117+110+107+97+66+117+108+108+101=1013
Här sparar "sajten" talet 1013 i lösenordsfältet.

När användaren sedan vill logga in så körs samma algoritm igen på det lösenord som matas in och svaret jämnförs med det värde som finns lagrat i databasen.
Är det samma värde så är det rimligt att det är samma lösenord, dock inte 100% säkert.

---

I gamla PHPBB2 så lagrades lösenorden i något som kallas MD5-hash som genererar en 32-tecken lång hexkod.
Eller 16 heltal(0..255) eller 128 bitar, beroende på hur man väljer att se det.

När en hackare har en hash så kan h*n sätta en dator på att testa alla tänkbara kombinationer tills rätt hash genereras och då är lösenordet knäckt.
Det tar inte så lång tid för dagens datorer att prova alla tänkbara kombinationer.

Då kan vi ju ta och skriva ut våra lösenord direkt här i tråden så fråntar vi hackarna deras lilla nöje. Det är en bra metod.

Lösenord: Gnuggamusen863

För att försvåra knäckandet så saltas lösenorden.
Det går till så att man lägger till en unik sträng på lösenordet innan hashen räknas ut.

Istället för att ta hashen på "Runkabulle" så kan man ta den på "Runkabulle"+"$uid"
Där $uid är ens idnummer i systemet.
Mitt skulle då bli "Runkabulle104"
CodeRedAlerts skulle bli "Gnuggamusen863483"

Alla forumsmotorer och seriösa webb-byggare utvecklar sina egna metoder att salta lösenord för att försvåra knäckandet så mycket det går.
Så en databastabell med lösenordshash utan kunskaper om hur saltet läggs till är värdelöst.
Problemet är att opensource program är just öppna. Det är bara att läsa forumets källkod så ser man hur saltet har applicerats.

För att ett salt skall vara effektivt så måste den enskilda webbmastern ha en alldeles egen algoritm för hur det saltas.

Men hur lyckas man vara så klantig att någon ö.h.t. kommer åt databastabeller? Det är ju där man bör börja med att "täppa till".

1. Låt bara admin ha direkt åtkomst till databaser.
2. Låt bara admin komma åt filsystemet på webservern där PHP-filerna förvaras.
3. Admin ska använda unika lösenord till databaser och webserver.

Men att det är så pass enkelt att återskapa lösenord ifrån MD5-hash är beklämmande. Trodde det var något säkrare.
Jag skulle kunna hacka tusentals användare som har registrerat konton i Aspie-quiz.

Även själva applikationen måste ha kontakt med databasen.
Annars har vi tex inget forum.

Hjälper inte.
Det går att utifrån en server opålitlig i vissa situationer så den levererar källkoden istället för det den skall ge ut.
I källkoden finns också lösenorden till sql-servern.

Absolut.

PHP uppgraderas kontinuerligt, hur kan vi definiera ett nytt sätt att ta fram en hash som är svårare att hacka?

8bitarsbrud visar hur starkt lösenord du har:

http://www.nakedpassword.com/

Det förutsätter dock att alla användare är heteroherrar eller lesbiska - och dessutom inte moralister eller helt enkelt bara trötta på att betraktas som kåta tonåringar som gör allt för att få se lite naket (till och med skaffa ett bättre lösenord)

Min andra hälft tyckte att naked password var fyndigt.

Sedan "bloggtoppen.se" blivit hackad så känns min senaste strategi rätt trevlig.
Man gör en lösenordsroulette och låter datorn komma ihåg lösenordet.
Glömmer datorn ens lösen så är det bara att klicka på "Glömt mitt lösenord" och på så vis kunna göra en ny lösenordsroulette.

Mindre för min hjärna att hålla reda på, omöjligt att matcha ens lösenord mot annan webbplats.

Denna är rätt vettig. Har inte googlat efter brister dock.

http://crypto.stanford.edu/PwdHash

Den har ungefär samma brist som min teknik, problem att nå sidor från andra datorer än den jag brukar nyttja.

Men att lösa det genom att skicka lösenordet via deras sajt fram o tillbaka känns VÄLDIGT osäkert.