طريقك لتأمين كلمة المرور بالتمويه المتكرر

[MPHP]

بسم الله الرحمن الرحيم

تشكل كلمة المرور أمراً خطيراً، خاصة وإن كانت كلمة المرور تلك هي كلمة مرور لوحة التحكم، في بعض الأحيان يتمكن القرصان من الوصول إلى كلمة المرور بعدة طرق، ويحاول بعدها إستخدام نموذج تسجيل الدخول، لولوج لوحة التحكم، وبعدها البدء بالتخريب.

من هنا بدأت التفكير في إيجاد طريقة تشتت القرصان عند كتابته كلمة المرور، حتى وإن تمكن من فك تشفيرها بعد الحصول عليها مشفرة، فجاءت فكرة بأن يتم تشفير كلمة المرور مضافاً إليها كلمة أخرى، يتم فحص تشفيرهما في كل مرة تدخلان إلى النموذج.

لتقريب الصورة سنتعامل بالكود، فهذا أفضل لي ولكم، من كثرة الكلام الممل:

نفرض أن لدينا إسم مستخدم admin وكلمة مرور pass، وكلاهما مخزنان في قاعدة البيانات، وأستخدم التشفير MD5 لكلمة المرور

الآن يبدأ العمل:

عند إدخالي كلمة المرور التي أريد فحصها بتلك الموجودة بقاعدة البيانات، أو إدخال كلمة مرور جديدة، أو تغيير كلمة المرور السابقة بجديدة... أقوم بما يلي:

كود PHP:

$password = $_POST['password'];
$encpassword = md5("MPHP".$password); 


إنتباه أن كود POST هذا غير آمن بهذا الشكل من SQL Injection يمكنك مراجعة http://www.swalif.net/softs/swalif45/softs221801/

طبعاً بعدها أقوم بعمليات المقارنة بين الكلمتين عند محاولة تسجيل الدخول، وبقية الأمور معروفة للجميع.

بهذا الشكل لو تمكن من فك تشفير الكلمة المخزنة بقاعدة البيانات، فلن يستفيد منها بشيء، لأنه سيضاف MPHP مرة أخرى للكملة التي فك تشفيرها، وستشفر مرة أخرى، ولن يصل لنتيجة أبداً، إلا إن وصل للكلمة الأصلية، التي عيّنتها أنت، ولن يصل لها أبداً بإذن الله.

هذه مجرد محاولة لإيجاد طريقة لتأمين كلمة المرور، وإرهاق القرصان

والله تعالى أعلم

أخوكم
MPHP

[MPHP]

تنويه:

تشفير كلمة admin
21232f297a57a5a743894a0e4a801fc3

وتشفير كلمة admin مضافاً إلها MPHP
bf8132c650e76350c754af5bf8511e39

نرى هنا أن التشفير مختلف، رغم أن الذي تدخله admin ولكن الذي سيتعامل معه في قاعدة البيانات MPHPadmin

[AboRa3d]

جزاك الله ألف خير

والله الفكرة حلوة مرررة ,, ماخطرت في بالي أبدأ

لكن من ما بدأت أقرأ السطور وشفت المثال ,, أستوعبت الفكرة

لكن ,, لنفترض أن المستخدم يستخدم سكربت معروف ومنتشر وفيه الفكرة إللي إنت عملتها
وإكتشف الكلمة المستخدمة في السكربت ( الكلمة الإضافية لحقل كلمة المرور )
فهنا بتكون مشكلة

وأنا أقترح إن الكلمة تتشفر عدة مرات
يعني مثال :

كود PHP:

$password = $_POST['password'];
$encpassword1 = md5("MPHP".$password);
$encpassword2 = md5("MPHP".$encpassword1);
$encpassword3 = md5("MPHP".$encpassword2);
$encpassword = md5("MPHP".$encpassword3); 


راح تكون متعبة للقرصان
هذا مجرد رأي ,, لكنّي ماجربته

[MPHP]

جزاك الله خيراً أخي AboRa3d للتفاعل مع الموضوع
كلامك صحيح أخي أبو رعد، بإمكانك ذلك، وبإمكانك خلق معادلة رياضية تتعامل مع طول كلمة المرور، والتشفير بناء عليها، بإستخدام عبارة For loop
مثال:

كود PHP:

$encpassword = $password;
for($i=0;$i<strlen($password);$i++)
$encpassword = md5("MPHP".$encpasswords); 


[MPHP]

يمكنك أيضاً:

كود PHP:

$password = $_POST['password'];
length = strlen($password);
for ($i=0;$i<length;$i++)
$password = md5("MPHP".$password); 


[MPHP]

يمكنك أخي أيضاً خلق array تضع فيها مثلاً قيم معينة، بحيث تستبدل هذه القيم بدلاً من MPHP بشكل تفاعلي منتظم، مما لا يخلق مشكلة في المعادلة.

طبعاً بهذه الحالة، ستكون الكلمة أكثر أمناً بحيث لن نجد ان MPHP تتكرر كل مرة.

هذه مجرد محاولات.. ويمكنكم جميعاً التفكير بهذا الإتجاه، وخلق معادلات جديدة

[AboRa3d]

جزاك الله ألف خير ,, عجبتني أفكارك كلها

وحبيت أضيف فكرة بسيطة

لنفترض اننا برمجنا سكربت ونبغي نطبق الحركة إللي إنت شرحتها في المشاركة الأول
فبدل ما يكون MPHP هو إفتتاحية كلمة المرور
ممكن الواحد يعطي المجال للمستخدمين بإختيار الكلمة المناسبة ,, إما أن يكون الخيار من ملف الـconfig أو عبر إستعلام بقواعد البيانات ,, وتكون إضافة قبل الكلمة اللي بيدخلها صاحب الموقع , وإضافة مختلفة بعد الكلمة ,, مما بيصعب على القرصان تحديد الرمز إللي لازم يحطه علشان يدخل للوحة التحكم .

إن شاء الله تكون فكرتي واضحه
وأشكرك على طرحك المميز

[ff5006]

السلام عليكم
شكراً لك على الموضوع الرائع وجزاك الله خيـر

كود PHP:

<?
$pass = $_POST['password'];
$password = md5("XP@VISTA#".$pass);
?>

ومشكوور مره أخرى.