perl+mysql+crypt

[Volodymyrko]

є postfix + mysql,
структура таблиці mysql (скорочено) така:

логін  (простий теск)
пароль (створено з допомогою crypt('pass') )

портрібно щоб користувачі могли самі міняти собі паролі..
створюю на perl веб-форму для вводу логіну і паролю,
отримую відповідно їх, але як перевірити дані з форми і таблиці, з логіном проблем нема, бо це простий текст, а як пароль перевірити,  він ж зашифрований ??
може його можна якось розшифрувати ??

[borman]

Зашифрувати простий пароль і порівняти з записом в базі. В усякому разі копати потрібно саме в цьому напрямку.

[old]

:-) По ідеї весь сенс криптування власне у незворотності. Вихід -- порівнювати закриптований результат.

[Volodymyrko]

але коли шифрувати одне й те саме слово кілька раз, то кожного разу інший результат виходить...

[old]

crypt крім паролю бере на вхід також salt. Принаймні так каже man crypt:

       char *crypt(const char *key, const char *salt);

DESCRIPTION
       crypt  is  the  password  encryption  function.  It is based on the Data
       Encryption Standard algorithm  with  variations  intended  (among  other
       things) to discourage use of hardware implementations of a key search.

       key is a user's typed password.

       salt  is a two-character string chosen from the set [a-zA-Z0-9./].  This
       string is used to perturb the algorithm in one of 4096 different ways.

Може вся сіль у salt-і?  

[Volodymyrko]

а як взнати  цей salt

[borman]

Необхідно використовувати те ж саме значення, що використовується при хешуванні. Не виключено, що для цього використовується сам пароль.

А як це взнати? Запитайте у програмки за допомогою якої хешовані паролі заносяться до бази даних.

[Volodymyrko]

я це робив mysql-ем,
тобто шукати в документаціїї mysql

[borman]

В будь-якому разі потурбуйтесь, щоб хеші в базі і створені з пароля введеного користувачем створювались за допомогою одного й того ж алгоритму.

[Volodymyrko]

тобто мені треба спочатку створити пароль (завжди однаковим способом), а потім його запихати в базу ?
чи можете сказати алгоритм ?

[borman]

Перш за все потрібно потурбуватися, щоб паролі в базі могли використовуватись при роботі з поштовою системою. Це правило повинно бути основним і визначати все інше. Тому раджу не чіпати базу доки не будете повністю розуміти всі дії, які захочете провести.

Дізнайтесь, за допомогою якого алгоритма шифруються паролі в базі зараз. Далі почитайте документацію по Perl -- повинен бути модуль, який допоможе вам зашифрувати введений користувачем пароль тим же самим алгоритмом (стандартний crypt використовує DES і зовсім не обов'язково, що DES використовується при шифруванні паролей в базі). Потім скористайтесь відповідною функцією для шифрування, зашифруйте введений користувачем пароль та порівняйте те що вийшло з записом у базі. Здається, все.

[Володимир Лісівка]

а як взнати  цей salt

Це перші дві літери закриптованого паролю.

Crypt дає дуже слабкий захист - чому не використати хоча б md5? :-/

[Volodymyrko]

а чи працює  courier-imap з md5