Пример:требуют различных символов в код Защитный код
a35sfj9ksdf
Как я могу попросить пользователя для нескольких символов (например, первый, четвертый и девятый) их кода безопасности, а затем проверить их? Основная трудность заключается в том, как хранить код безопасности в зашифрованном виде - если бы я должен хранить каждый символ в отдельности, тогда шифрование было бы невероятно легко сломать.
Возможность того, что было описано ни здесь, ни в How to store and verify digits chosen at random from a PIN/Password заключается в следующем:
Теперь вы должны хранить управляемое количество п + 1 полей для защитного кода длины п и все еще может проверить одного (положение, голец) кортежи
Это довольно элегантный метод и, безусловно, гораздо более безопасен, чем хранение открытого текста или хэшей одиночных символов , Для получения лучших результатов используйте для каждой пользователя различную случайную соль. +1 –
«Создайте случайную соль той же длины, что и код seucrity» и «Хранить соль с пользователем» означает именно то, что: Случайная соль для каждого отдельного пользователя. Не делайте этого, чтобы злоумышленник мог прикоснуться к таблице, чтобы найти коды безопасности, объединив частично известные другие коды, если образец достаточно большой. –
Предположим, я нападавший. Итак, если я хочу знать символ x в позиции i, и у меня есть соль, то я просто вычисляю N хэшей, где N - количество возможных символов и проверьте, какой из них правильный? Это делает грубый форсинг намного проще. В основном, вы переходите от N^L к N * L по сложности (где L - длина защитного кода). Или я не понимаю метод? –
Что об использовании SUBSTR()?
substr("a35sfj9ksdf", 0, 1);
Это будет возвращать 'а', первый символ
substr("a35sfj9ksdf", 4, 1);
Это возвращение было 4, 5-й символ
Так что-то вроде, пожалуйста, введите $ н характер и использовать
substr("a35sfj9ksdf", $n-1, 1);
вы можете выполнить следующие этапы:
хранить все нужные символы в массиве
генерируют п (длина кода пользователя) количество случайных чисел, где каждое число будет представлять характер вашего массива.
Тогда CONCAT новых сгенерированных символов, чтобы сделать строку
хранить строку, используя сеанс и когда спросить у пользователя просто совпадает с кодом пользователя с сеансом
вы можете также сделать простой метод отслеживания с использованием аналогичного способа
Почему бы не просто хеш-код и не спросить пользователя об этом? –
Мне тоже было интересно. Возможно, вам придется хранить хэш каждой комбинации, которую вы собираетесь попросить, но это кажется немного тяжелым. –
Возможный дубликат [Как хранить и проверять цифры, выбранные случайным образом из ПИН-кода/пароля] (http: // stackoverflow.com/questions/3388379/how-to-store-and-verify-digits-selected-at-random-from-a-pin-password) –