تشفير كلمات السر بشيفرة md5

أحمد أبو النصر · 25-12-2005, 11:24 PM

مرحبا شباب

لا يغيب عن بالنا مدى ضرورة حماية كلمات السر الخاصة بأعضاء منتدياتنا أو مواقعنا بشكل عام..!!

أو حتى أنت كمستخدم لشبكة الإنترنت أحياناً لا ترغب في التسجيل في أي موقع أو منتدى خوفاً من سرقة كلمة السر الخاصة بك..!!

ماذا لو استخدمت الشركة التي تتعامل معها نظاماً دقيقاً وآمناً تماماً لتشفير كلمة المرور الخاصة بك..؟؟

عندئذٍ لن يهمك أن يحصل أي شخص على كلمة السر الخاصة بك بما أنها مشفرة وغير مكشوفة من قبل أي شخص.....!!

((بغض النظر عن البرامج الحديثة التي تستخدم طرق التجريب للوصول إلى كلمة السر ..))

نظام التشفير العالمي باستخدام MD5 أصبح الأكثر تداولاً لتشفير كلمات السر عبر مواقع الإنترنت..

فهل تريد معرفة طريقة تشفير كلمات السر الخاصة بك وبأعضاء موقعك على الإنترنت؟؟! إذاً تعال معنا لنأخذ هذه الدالة السهلة الاستخدام..

هذه الدالة ظهرت في PHP3 وفي PHP4 منذ الإصدارة PHP4.0.0 لأهميتها..

اسم الدالة هو md5

هذه الدالة تحسب تشفير الأحرف بواسطة النظام الأمني المعروف بـ RSA Data Security, Inc. MD5 Message-Digest Algorithm

يمكنك الحصول على معلومات أكثر عن هذا النظام التشفيري الأمني الرائع من هنا ::: http://www.faqs.org/rfcs/rfc1321.html

الصيغة العامة لدالة md5 :

كود PHP:

  string md5 (string str)

ستعيد هذه الدالة التشفير من نوع string بعد أن نمرر لها المتغير الذي نريد تشفيره في الباراميتر str من نوع string ..

ماذا لو أخذنا مثال على ذلك ؟؟

كود PHP:

  <?

 
$password = "123123";

 
$decoded = md5($password);

echo $decoded;

 
?>

فقد قمنا بتخزين كلمة السر التي نريد تشفيرها في المتغير password$ ثم مررنا المتغير على الدالة md5 ثم قمنا بطباعة الناتج المشفر وهو في هذه التجربة :
4297f44b13955235245b2497399d7a93
هذا النوع من التشفير المعقد يفيد بشكل كبير في حماية كلمة السر ..

لحماية أكبر يمكنك استخدام كلمات سر معقدة وتضمنها برموز وإشارات لا يتوقعها البشر..!!
لأن برامج فك التشفير تجرب الاحرف والأرقام والرموز للوصول إلى فك تشفير كلمة المرور المشفرة بهذا النظام..
حيث أنه ليس هنالك أي طريقة حتى الآن لفك التشفير بشكل مباشر..
فإذا استخدمنا مثلاً كلمة السر التالية فالاحتمال الأكبر أنه ليس هناك مخلوق على وجه الأرض (طبعاً صيغة مبالغة!!) يستطيع فك تشفيرها:
me@r_s$a^d!,(%YG21
فأي برنامج سيصل إليها؟؟!!!

أرجو أن يكون الشرح بسيط بمستوى بساطة هذه الدالة ..
تحياتي لكم جميعاً
وأي سؤال أنا تحت أمركم...

مُجَاهِد · 25-12-2005, 11:36 PM

رائع أخي الكريم ..
وجزاك الله خير ..

M-Plus · 26-12-2005, 07:28 AM

جزاك الله ألف ألف خير أخوي sBForum...

وأحب أن أضيف الى كلامك لو سمحت لي أن نظام تشفير md5 يستخدم عملية حسابية ذات اتجاه واحد... أي:

كملة السر ==> كلمة السر المشفرة (اتجاه واحد فقط!)

ولا يمكن فك تشفير الكلمة... أي أن

كلمة السر المشفرة ==> كملة السر (غير صحيح! لا يمكن اجراء هذه العملية)

وهذا الشئ يمكن ملاحظته بسهولة، حيث أنك لو نسيت كلمة السر الخاصة بك لدخول أي موقع، و قمت بتقديم طلب لاستعادتها، فانك تحصل على أخرى جديدة و يمكنك تغييرها في ما بعد، لكنك لن تجد أي موقع يستخدم md5 لتشفير كلمات السر يقوم بفك الشفرة ويرسل لك كلمة السر القديمة!

قد يسأل السائل هنا، إذا كيف يتمكن مخترقي المواقع من فعل فعلتهم؟؟ قد يكو ذلك لعدة اسباب ومنها:
1- تمكن المخترق من اختراق جهازك أولاً، و من خلال جهازك قام بقراءة كلمة السر التي أدخلتها.. بهذا يكون قد حصل على كلمة السر غير المشفرة
2- وجود ثغرة أمنية أمنية في موقعك، ومن خلالها إما يحصل على كلمة السر التي قمت بإدخالها، أو أن يطبق أمر ما بحيث يقوم بتغيير كلمة السر الخاصة بك، أو أن يطبق أمر ما يقوم بانشاء مستخدم في موقعك لديه كل الصلاحيات وبذلك يمكنه الدخول الى الموقع وربما حذف اشتراكك! وهنالك عدة طرق اخرى كلها تعتمد على وجود ثغرة امنية في موقعك.
3- وجود ثغرة أمنيه في خادم (سيرفر) الموقع. ويتمكن المخترق من خلالها اختراق موقعك..
4- سرقة الكعكة (cookie) التي تحتوي على كلمة السر المشفرة الخاصة بك، يقوم المخترق بوضع الكعكة في جهازه، وعندما يفتح الموقع فان الموقع يقوم بقراءة اسم المستخدم و كلمة السر من الكعكة (تلقائيا) ويقوم من بعدها بالتحقق من البيانات. في هذه الحاله فان الكعكة تحتوي على كلمة السر المشفره، ولكنها هي الصحيحه! وبذلك يخترق موقعك (ولكنه في الحقيقة لا يعرف كلمة السر الحقيقية الخاصة بك)

وربما يوجد هنالك طرق أخرى اجهلها، لكن هذا ما طرى على بالي في هذه اللحظه...

ولهذا، فإن أفضل الطرق لحماية موقعك هي كالتالي:
الأولى و الأهم: حماية جهازك بشكل صحيح.
الثانية: اختيار المستضيف الكفؤ، أو في حال يوجد لديك سيرفر خاص بك يجب عليك حمايته بالشكل الصحيح.
الثالثة: اختيار السكربتات المناسبة والآمنه، وتحديثها كلما تم طرح نسخة جديدة منها. أما ان كنت قد برمجت موقعك بنفسك، يجب عليك اختبار الموقع دائماً و التأكد من خلو برمجتك من الثغرات الأمنية.
الرابعة: تجنب استخدام الكعكات عند دخول الموقع (الكوكيز) بقدر الإمكان. هكذا ستتعب قليلاً بإدخال اسم المستخدم و كلمة السر كلما قمت بفتح موقعك، ولكن ستقلل احتمال اختراق موقعك بشكل كبير.

بقيت لدي نقطة واحده أخيرة تهم المبرمجين... قرأت في أحد المرات أن من أفضل طرق الحماية هي إضافة عنوان IP لجهاز المستخدم الى كلمة السر، ثم تشفير الناتج... ما رأيكم بهذه الطريقة؟؟

اللهم ما أصبت فمنك سبحانك، و ما أخطات فمن نفسي و الشيطان...

بوجـــــــبر

متابع · 26-12-2005, 09:08 AM

يعطيك العافية على المعلومات
بس أنا كــان شاغل بالي

كيف الموقع يتعرف على باسووردك وأنت تكتبه غير مشفر
هل يعني أن الموقع يستطيع فك التشفير ؟
إذا لم لا يصنع برنامج مماثل للذي في الموقع (ذالك اللذي يتعرف على باسووردك)

بس الحين عرفت من ردك أخوي M-Plus أن

اقتباس:

كملة السر ==> كلمة السر المشفرة (اتجاه واحد فقط!)

تقصد أن الموقع في كل مره تسجل دخولك يقوم بتشفير باسووردك ثم يقارنه بإضافة الإسم مع الباسوورد المشفر في قاعدة البيانات ..

إتجاه واحد يعني كل مره يشفر ثم يقارن
والله حليت عندي إشكال كنت أظن مثل ما أنا كاتب في أول الرد

يعطيكم العافية أخوي M-Plus ويعطيك العافية أخوي sBForum
تحياتي

M-Plus · 26-12-2005, 10:33 PM

اقتباس:

تقصد أن الموقع في كل مره تسجل دخولك يقوم بتشفير باسووردك ثم يقارنه بإضافة الإسم مع الباسوورد المشفر في قاعدة البيانات ..

بالضبط أخوي متابع، في كل مرة تدخل كلمة السر يتم تشفيرها ثم مقارنة الناتج مع كلمة السر المشفرة و المخزنة في قاعدة بيانات الموقع، في حال التطابق فان هذا يعني ان كلمة السر التي تم إدخالها هي الصحيحة ..

بوجـــــــبر

Pepsi · 27-12-2005, 04:36 AM

سؤال في بالي: هل توجد برمجة "عكسية" لهذه الدالة ؟

al-marwa · 27-12-2005, 09:31 AM

اخواني بالفعل لا يوجد برمجه عكسيه لهذه الداله ، لكن حاليا بدأت تخترق و يمكن معرفة كود md5
و من ثم كلمة السر .

و لكن هذا لا يلغي فعالية هذه الداله ، فيمكن زيادة التعقيد و ذلك بتشفير مثلا كل جزء من كلمة السر
و قص و دمج في التشفير للوصول الى تشفير اكثر تعقيدا من فقط تنفيذ md5 على كلمات المرور

و اشكر الاخوان على الاشاره الى هذه الداله المهمه و اهمية تفشير كلمة السر ايضا في قاعدة بيانات
mysql يوجد داله تقوم بنفس التشفير و هي password()
حيث يمكن استخدامها ايضا مباشره من قاعدة البيانات .

أحمد أبو النصر · 27-12-2005, 12:02 PM

تسلم أخوي مجاهد وإن شاء الله تشوف المزيد من الدروس ....

أخوي بوجبر (M-Plus) شكراً لمداخلتك القوية ،، وكلامك صحيح 100% .......

أخوي متابع العفو وفعلاً md5 تشفير في اتجاه واحد مثل ما قال الأخ بو جبر جزاه الله خيراً ....

ممكن تشفر بس مش ممكن تفك التشفير

ملاحظة : برامج فك التشفير (أو التي تدعي بفك التشفير) كلها تعتمد على طريقة التجريب ، تقوم بتجريب الأحرف والأرقام والرموز وتشفيرها ، وعندما تطابق النتيجة الباسوورد المشفر تظهر النتائج

اخوي Pepsi
تمت الإجابة كثييييييييير

أخوي al-marwa كلام سليم
كيف تقصد بالاختراق ؟؟ لا يوجد طريقة للفك ،، فماذا تقصد ؟؟
هل تقصد التجريب كما ذكرت بالملاحظة ؟؟!!
تحياتي للجميع

موقع روش · 28-12-2005, 01:54 AM

رائع جدا
وننتظر المزيد

أحمد أبو النصر · 28-12-2005, 06:31 PM

شكراً روش ...

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق