---

Hej,

Hvordan plejer I at kryptere passwords - uden anvendelse af specielt
installerede komponenter?

Jeg skal bruge det til noget styring af hjemmevagt. Sikkerheden på
dette er ikke høj-kritisk, men da man kan antage, at en del brugere
anvender samme pw til denne applikation som til "alt muligt andet",
vil jeg gerne hindre, at nogen (fx jeg selv) uden videre kan aflæse pw
fra databasen.

Så vidt jeg har fanget, er princippet, at man aflæser folks pw fra en
form, kører den igennem en krypto-funktion og gemmer den krypterede
værdi i databasen.

Så kravet til krypto-funktionen er vel bare, at:
- den giver samme resultat hver gang
- at forskelligt input giver forskelligt output (eller i det mindste,
at der kun er få input, som giver samme output)
- at man ikke umiddelbart kan udlede output af input

Eller er der noget, jeg har overset?


Mvh. Jørn


--
Jørn Andersen
Brønshøj

---

"Jørn Andersen" <jorn.a@email.dk> skrev i en meddelelse
news:9ibdpt04ekvhb2ek44607viodpjfvnerq4@4ax.com...
> Hej,
>
> Hvordan plejer I at kryptere passwords - uden anvendelse af specielt
> installerede komponenter?
[Klip]
> Så kravet til krypto-funktionen er vel bare, at:
> - den giver samme resultat hver gang
> - at forskelligt input giver forskelligt output (eller i det mindste,
> at der kun er få input, som giver samme output)
> - at man ikke umiddelbart kan udlede output af input

Du mener vel at man ikke umiddelbart kan udlede input af output, ellers
bliver det meget svært at lave en krypterings algoritme.
Den slags "envejs-kryptering" kalder man Hash-funktioner, se fx her:
<http://pajhome.org.uk/crypt/md5/> eller søg på fx "MD5 Hash download" på
google:
<http://www.google.com/search?q=MD5+Hash+download>

MVH
Allan Ebdrup

---

On Thu, 6 Sep 2001 10:40:15 +0200, "Allan Ebdrup" <ebdrup@ti-fire.dk>
wrote:

>
>"Jørn Andersen" <jorn.a@email.dk> skrev i en meddelelse
<SNIP>
>> - at man ikke umiddelbart kan udlede output af input
>
>Du mener vel at man ikke umiddelbart kan udlede input af output, ellers
>bliver det meget svært at lave en krypterings algoritme.

Selbstverständlich

>Den slags "envejs-kryptering" kalder man Hash-funktioner, se fx her:
><http://pajhome.org.uk/crypt/md5/> eller søg på fx "MD5 Hash download" på
>google:
><http://www.google.com/search?q=MD5+Hash+download>

Mange tak for links mv. til dig og Jesper. Jeg vil kigge nærmere på
det - det ser efter et hurtigt kig ikke helt uoverskueligt ud ...

Mvh. Jørn


--
Jørn Andersen
Brønshøj

---

On Fri, 07 Sep 2001 02:30:32 +0200, Jørn Andersen <jorn.a@email.dk>
wrote:

<SNIP MD5 m.v.>

>Mange tak for links mv. til dig og Jesper. Jeg vil kigge nærmere på
>det - det ser efter et hurtigt kig ikke helt uoverskueligt ud ...

Det virker bare - endnu en gang tak!

Mvh. Jørn


--
Jørn Andersen
Brønshøj

---

Jørn Andersen wrote in news:9ibdpt04ekvhb2ek44607viodpjfvnerq4@4ax.com:

> Hej,
>
> Hvordan plejer I at kryptere passwords - uden anvendelse af specielt
> installerede komponenter?
>

det mener jeg ikke umiddelbart kan lade sig gøre - der findes så vidt jeg
ved ikke en metode i ASP/VB der kan kryptere en streng. Du kan overveje at
arbejde med Windows CryptoAPI - men det er imo lidt overkill hvis du blot
vil sløre passwords.

> Jeg skal bruge det til noget styring af hjemmevagt. Sikkerheden på
> dette er ikke høj-kritisk, men da man kan antage, at en del brugere
> anvender samme pw til denne applikation som til "alt muligt andet",
> vil jeg gerne hindre, at nogen (fx jeg selv) uden videre kan aflæse pw
> fra databasen.
>
> Så vidt jeg har fanget, er princippet, at man aflæser folks pw fra en
> form, kører den igennem en krypto-funktion og gemmer den krypterede
> værdi i databasen.
>
> Så kravet til krypto-funktionen er vel bare, at:
> - den giver samme resultat hver gang
> - at forskelligt input giver forskelligt output (eller i det mindste,
> at der kun er få input, som giver samme output)
> - at man ikke umiddelbart kan udlede output af input
>

Det du skal have fat i er en hash-funktion. En hash-funktion tager en streng
og laver et "digest" eller hash-værdi af strengen. Det er så denne værdi, du
gemmer i din tabel. Du kan typisk vælge imellem MD5 eller SHA-algoritmer -
hvor den sidste er mere sikker end den første. Jeg kan dog ikke forestille
mig, at MD5 ikke kan tilfredstille dine sikkerhedsbehov.

Du kan hente MD5 her:
http://www.frez.co.uk/freecode.htm#md5

og SHA-256 her:
http://www.frez.co.uk/freecode.htm#sha256

Begge implementationer af disse algoritmer har været postet i sci.crypt og
har ikke givet anledning til protester :)

> Eller er der noget, jeg har overset?
>

nope ...

Hvis du vil tage et hurtigt kig på koden, så kan du gøre det her:
http://stocholm.dk/asp/viewsource.asp?file=md5.asp, hvor også begge
algoritmer ligger.


--
.... der søger lejlighed fremleje/leje i Københavnsområdet. Max. kr. 3500 om
måneden alt inklusive.

- Jesper Stocholm - http://stocholm.dk

---

Brug MD5. Den virker perfekt (jeg mener at dog at hvis teksten bliverover 16
tegn lang kunne du ramme samme MD5 hash med 2 forskellige strenge) Men,
særen Password length på6-16, det har jeg gjort


Mvh.


Thomas

---

"Thomas L. Nielsen" <NOSPM-loftager@nielsen.mail.dk> wrote in
<3b9772b8$0$290$edfadb0f@dspool01.news.tele.dk>:

>Brug MD5. Den virker perfekt (jeg mener at dog at hvis teksten
>bliverover 16 tegn lang kunne du ramme samme MD5 hash med 2 forskellige
>strenge) Men, særen Password length på6-16, det har jeg gjort
>

MD5 har et udfaldsrum på 128bits ... dvs den streng den udspytter er på ca.
25-30 tegn. Længden af input i algoritmen ha intet at gøre med, om der er
kollisioner eller ej ... sandsynligheden for at få en kollision imellem 2
MD5-værdier ved input på 100 tegn er nøjagtig lige så stor som ved input på
10 tegn.

--
Jesper Stocholm
http://stocholm.dk