https://kb.rvmgroup.it/index.php?action=history&feed=atom&title=Utilizzo_di_password_unix_in_PhpUtilizzo di password unix in Php - Revision history2026-05-05T23:54:08ZRevision history for this page on the wikiMediaWiki 1.44.2https://kb.rvmgroup.it/index.php?title=Utilizzo_di_password_unix_in_Php&diff=4868&oldid=prevGabriele.vivinetto: /* Link utili */2006-08-22T12:04:52Z<p><span class="autocomment">Link utili</span></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="en">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Older revision</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Revision as of 12:04, 22 August 2006</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l179">Line 179:</td>
<td colspan="2" class="diff-lineno">Line 179:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Link utili ==</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Link utili ==</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>[http://www.faqts.com/knowledge_base/view.phtml/aid/2709 FAQTs - Knowledge Base - View Entry - Why can't I get ENCRYPT() to match identical passwords?]</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* </ins>[http://www.faqts.com/knowledge_base/view.phtml/aid/2709 FAQTs - Knowledge Base - View Entry - Why can't I get ENCRYPT() to match identical passwords?<ins style="font-weight: bold; text-decoration: none;">]</ins></div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div> </div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* [http://www.busybox.net/FAQ.html#tips_encrypted_passwords Descrizione breve ed efficace del campo password nel formato di /etc/passwd, con particolare enfasi sull'utilità del SALT</ins>]</div></td></tr>
</table>Gabriele.vivinettohttps://kb.rvmgroup.it/index.php?title=Utilizzo_di_password_unix_in_Php&diff=3621&oldid=prevGabriele.vivinetto at 22:17, 9 August 20052005-08-09T22:17:12Z<p></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="en">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Older revision</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Revision as of 22:17, 9 August 2005</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l176">Line 176:</td>
<td colspan="2" class="diff-lineno">Line 176:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Quanto detto sopra permette di importare le password unix in formato shadow in un database mysql, ad esempio per usare un'autenticazione basata su pam_mysql, senza dover resettare le password egli utenti.</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Quanto detto sopra permette di importare le password unix in formato shadow in un database mysql, ad esempio per usare un'autenticazione basata su pam_mysql, senza dover resettare le password egli utenti.</div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">== Link utili ==</ins></div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">[http://www.faqts.com/knowledge_base/view.phtml/aid/2709 FAQTs - Knowledge Base - View Entry - Why can't I get ENCRYPT() to match identical passwords?]</ins></div></td></tr>
</table>Gabriele.vivinettohttps://kb.rvmgroup.it/index.php?title=Utilizzo_di_password_unix_in_Php&diff=1194&oldid=prevGabriele.vivinetto at 22:09, 9 August 20052005-08-09T22:09:45Z<p></p>
<p><b>New page</b></p><div>[[Category: Php]]<br />
[[Category: Mysql]]<br />
[[Category: Linux System Administration]]<br />
<br />
''Obiettivo:'' importare e gestire in php delle password unix in un database mysql.<br />
''Soluzione:'' il formato delle password in Linux è il formato md5-crypt.<br />
<br />
== Descrizione del formato md5-crypt ==<br />
<br />
Le password in Debian Sarge, sono salvate nel formato md5-crypt in una installazione 'standard', e sono contenute nel file ''/etc/shadow'' leggibile solo da root:<br />
<br />
<pre><br />
cat /etc/shadow | grep testuser<br />
testuser:$1$vTa1.iGc$9ntQJ.PyvXviofUXuLdMT1:13003:0:99999:7:::<br />
</pre><br />
<br />
La password è la stringa:<br />
<br />
$1$vTa1.iGc$9ntQJ.PyvXviofUXuLdMT1<br />
<br />
Essa è composta da una parte chiamata "''salt''" che è nel formato<br />
<br />
$1$xxxxxxxx$<br />
<br />
Dove xxxxxxxx sono 8 caratteri alfanumerici oltre a . e /<br />
<br />
La parte seguente è chiamata "''hash''" e contiene la password cifrata vera e propria.<br />
<br />
Il formato è descritto con precisione su [http://www.gnu.org/software/libc/manual/html_node/crypt.html The GNU C Library - Function crypt()]<br />
<br />
== Funzione ENCRYPT di Mysql ==<br />
<br />
Mysql supporta la cifratura crypt basandosi sulle chiamate alla routine crypt() di sistema, quindi assicura la piena compatibilità tra hash Linux e Mysql.<br />
<br />
Tale funzione è built-in in Mysql e può essere usata direttamente nelle query e si chiama ENCRYPT.<br />
<br />
Il formato è:<br />
<br />
ENCRYPT (stringa_password;[stringa_salt])<br />
<br />
Se non si specifica il salt, esso viene generato casualmente e corrisponderà alle prime due lettere dell'hash.<br />
<br />
ATTENZIONE: se non si usa il salt md5-crypt, la password verrà considerata fino ad un massimo di 8 caratteri, e questa è una limitazione di crypt(); cioè le password abcdefgh e abcdefghi saranno uguali.<br />
<br />
Per provare la funzione ENCRYPT(), dalla console mysql:<br />
<br />
<pre><br />
mysql> select 'parola', ENCRYPT('parola');<br />
+--------+-------------------+<br />
| parola | ENCRYPT('parola') |<br />
+--------+-------------------+<br />
| parola | k5z7/FkdJb4VI |<br />
+--------+-------------------+<br />
1 row in set (0.01 sec)<br />
</pre><br />
<br />
In questo caso il salt è "k5".<br />
<br />
== Memorizzaione di una password crypt() ==<br />
<br />
Ipotizziamo di avere una tabella con i campi:<br />
<br />
<pre><br />
mysql> describe accounts;<br />
+-----------------+---------------+------+-----+---------+----------------+<br />
| Field | Type | Null | Key | Default | Extra |<br />
+-----------------+---------------+------+-----+---------+----------------+<br />
| username | varchar(30) | | | | |<br />
| password | varchar(80) | | | | |<br />
+-----------------+---------------+------+-----+---------+----------------+<br />
2 rows in set (0.01 sec)<br />
</pre><br />
<br />
dove in password vogliamo memorizzare l'hash della password ottenuto con ENCRYPT('stringa_password')<br />
<br />
La query per memorizzare una password crypt() standard sarà quindi:<br />
<br />
UPDATE accounts <br />
SET password=encrypt('parola') WHERE username='nomeutente'<br />
<br />
== Decifrazione di una password crypt() ==<br />
<br />
Parlare di decifrazione non è proprio corretto. Per la natura "one-way" della cifratura crypt(), dall'hash, non è possibile ricavare la password, dato che ad un hash ed un salt corrispondono infinite password (cioè la funzione di generazione non è biunivoca).<br />
<br />
Però ad una password ed un salt corrisponde uno ed un solo hash.<br />
<br />
Quindi per verificare che la password sia corretta non si deve decifrare l'hash, ma piuttosto ricifrare la password con il salt conosciuto e vedere se l'hash generato è lo stesso.<br />
Se si cifra la password con lo stesso salt, si ottiene sempre lo stesso hash.<br />
<br />
Conoscere l'hash, e di conseguenza il salt, non aiuta molto a scoprire la password, in quanto non esiste nessun modo per ricavare la password dall'hash e dal salt, ma si può solo ricavare l'hash dalla password e dal salt.<br />
<br />
Se un utente fornisce una password ad esempio 'perla', e si ha memorizzato un hash, la query per verificare se è corretta sarà:<br />
<br />
SELECT username<br />
FROM accounts <br />
WHERE username='nomeutente' <br />
AND password=ENCRYPT('perla', SUBSTRING(password from 1 for 2));<br />
<br />
Se la password è corretta, l'hash sarà uguale, e sarà restituita la riga corrispondente contente lo username.<br />
<br />
In pratica, ricifriamo la passowrd fornita con il salt conosciuto (di default le prime due lettere dell'hash completo) e vediamo se otteniamo lo stesso hash completo.<br />
<br />
== Limitazione di 8 caratteri ==<br />
<br />
Se usiamo questa tecnica, cioè crypt() standard, come detto prima, abbiamo un limite di considerazione di 8 caratteri per la password, infatti:<br />
<br />
<pre><br />
mysql> SELECT 'compiuto12', ENCRYPT('compiuto12','hX') AS hash1, 'compiuto99', ENCRYPT('compiuto99','hX') AS hash2;<br />
+------------+---------------+------------+---------------+<br />
| compiuto12 | hash1 | compiuto99 | hash2 |<br />
+------------+---------------+------------+---------------+<br />
| compiuto12 | hXV722CZvTG/c | compiuto99 | hXV722CZvTG/c |<br />
+------------+---------------+------------+---------------+<br />
1 row in set (0.01 sec)<br />
</pre><br />
<br />
I due hash sono uguali !!!! In questo caso un utente può pensare di aver inserito una password diversa più lunga di 8 caratteri, invece qualsiasi password con i primi 8 caratteri uguali sarebbe considerata valida.<br />
<br />
Occorre utilizzare la tecnica md5. Come detto precedentemente in [http://www.gnu.org/software/libc/manual/html_node/crypt.html The GNU C Library - Function crypt()] se forniamo come salt una stringa nel formato $1$xxxxxxxx$, automaticamente verrà usato md5-crypt, che genera un hash che permette di considerare un numero 'illimitato' di caratteri per la password.<br />
<br />
Infatti:<br />
<br />
<pre><br />
mysql> SELECT 'compiuto12', ENCRYPT('compiuto12','$1$abcdefgh$') AS hash1, 'compiuto99', ENCRYPT('compiuto99','$1$abcdefgh$') AS hash2;<br />
+------------+------------------------------------+------------+------------------------------------+<br />
| compiuto12 | hash1 | compiuto99 | hash2 |<br />
+------------+------------------------------------+------------+------------------------------------+<br />
| compiuto12 | $1$abcdefgh$41Q6fZfcouppt81wG9pYW1 | compiuto99 | $1$abcdefgh$KStEbIeSNwyibwQSYhsd50 |<br />
+------------+------------------------------------+------------+------------------------------------+<br />
1 row in set (0.01 sec)<br />
</pre><br />
<br />
Ora gli hash sono diversi (anche se voultamente si è usato lo stesso salt), e sono nel formato 'shadow'.<br />
<br />
== Validazione di una password md5-crypt ==<br />
<br />
La query dovrà quindi considerare come salt i primi 12 caratteri:<br />
<br />
SELECT username<br />
FROM accounts<br />
WHERE username='nomeutente' AND password=encrypt('compiuto99', substring(password from 1 for 12));<br />
<br />
== Utilizzo di md5-crypt in Php ==<br />
<br />
Per generare una password md5-crypt l'unica operazione da eseguire in più è la corretta generazione di un salt casuale, in modo da aumentare l'entropia dell'hash completo.<br />
<br />
Allo scopo è utile la seguente funzione php che genera il salt correttamente:<br />
<br />
<pre><br />
function makeSalt () {<br />
$saltlen=9;<br />
$saltprefix='$1$'; <br />
$saltsuffix='$';<br />
$salt='';<br />
$hash = '';<br />
for($i=0;$i<8;$i++) {<br />
$j = mt_rand(0,53);<br />
if($j<26)$hash .= chr(rand(65,90));<br />
else if($j<52)$hash .= chr(rand(97,122));<br />
else if($j<53)$hash .= '.';<br />
else $hash .= '/';<br />
}<br />
return $saltprefix.$hash.$saltsuffix;<br />
}<br />
</pre><br />
<br />
Quindi la query per meorizzare la password in php sarà costruita come:<br />
<br />
<pre><br />
$salt=makeSalt();<br />
$changePassword_query=sprintf("UPDATE accounts SET password=encrypt('%s','%s') WHERE username='%s'", <br />
$nuovapassword, $salt, $nomeutente);<br />
</pre><br />
<br />
== Importazione di password Unix in Mysql ==<br />
<br />
Quanto detto sopra permette di importare le password unix in formato shadow in un database mysql, ad esempio per usare un'autenticazione basata su pam_mysql, senza dover resettare le password egli utenti.</div>Gabriele.vivinetto