Ok. Está claro que se debe almacenar la contraseña hash en la base de datos, pero en el caso de que un usuario no recuerde la contraseña y quiera recuperarla, obviamente el usuario no querrá tener la contraseña hash. Si la contraseña es hash con md5 o adicional como salt y sha1, entonces cómo recuperar la contraseña.PHP desglosando la contraseña
Solo hay una respuesta simple: No se puede.
Bueno, teóricamente podrías, pero podría llevar muchos años por contraseña si son lo suficientemente largos. Después de todo, ese es el punto de contraseñas hash en primer lugar: hacer que los datos sean inútiles para un atacante (o al menos proteger la contraseña de texto plano del usuario, que es información confidencial)
Haga que el sitio envíe un el correo electrónico "cambie su contraseña" que contiene un enlace a una página donde ese usuario puede cambiar su contraseña. Así es como la mayoría de los sitios profesionales manejan este dilema.
y esta es la razón por la que la fortaleza de la contraseña de la mayoría de los sitios profesionales es equivalente a la fortaleza de la contraseña de la cuenta de correo electrónico que utiliza para suscribirse. –
Eso es cierto :) Sin embargo, todavía es mejor que las preguntas de seguridad. – hb2pencil
http://tools.benramsey.com/md5/ herramienta inversa md5 hash. Sin embargo, las buenas contraseñas probablemente no existan en el db. –
Esto está destinado a ser intratable. Por lo tanto, generalmente debe proporcionar alguna forma de restablecerlo. Enviar un enlace especial al correo electrónico del usuario es común, aunque reduce su seguridad a la de la cuenta de correo electrónico.
Ver Forgot Password: what is the best method of implementing a forgot password function? .
La seguridad de hash en lugar de cifrar la contraseña es que no puede revertir un hash. Si puede deshacer la contraseña y darle al usuario su contraseña de texto sin formato, entonces cualquier pirata informático puede revertir la contraseña hash que utiliza para registrarse e iniciar sesión y "descifrarla" para obtener la contraseña del usuario.
Esta es una característica, no un error.
hashing en sí significa "no se puede recuperar".
Si un usuario no puede recordar su contraseña, no la necesita con certeza.
Simplemente crea otro al azar y envíalos.
No es un gran problema.
sí ... uno puede haber olvidado su contraseña ... la buena práctica al usar la contraseña hash sería hacer que el usuario escriba la dirección de correo electrónico de la cuenta cuya contraseña quiere restablecer, luego el sistema restablecerá la contraseña contraseña de los usuarios con otra contraseña generada. La contraseña hash de MD5 es casi imposible de recuperar la contraseña original del hash
Siempre tenga cuidado con los sitios que pueden enviarle la contraseña que utiliza. Eso significa que cualquiera que tenga acceso a la base de datos de contraseñas puede ver fácilmente su contraseña, lo que es especialmente peligroso si reutiliza las contraseñas.
Para restablecer la contraseña, recomiendo usar 'preguntas seguras' con respuestas que también están encriptadas.
Corresponde a todos aquellos que operan sitios web para mantener a sus clientes razonablemente a salvo de los piratas informáticos.
Un hash es como una picadora de carne. Puedes convertir una vaca en carne picada, pero no puedes convertir la carne molida en una vaca. –