![]() |
![]() |
![]()
Post
#1
|
|
![]() Grupa: Moderatorzy Postów: 36 482 Pomógł: 6303 Dołączył: 27.12.2004 ![]() |
w związku z lekkim OT w pewnym temacie, który rozwinął się w ciekawą dyskusję, temat rozdzielam. Dotyczy on:
Czy podwójne (n-te) hashowanie hasła jest bezpieczniejsze, od pojedynczego hashowania md5 sie nie odkoduje. mozna trafic na rozwiązanie metodą brute force. Dla tej metody jednak jest bez roznicy, czy ty dane haslo przepuścic przez md5 raz, dwa czy milion razy ![]() Posty będące duplikacją postów już zawartych w temacie, będą bez ostrzeżenia usuwane. Ma to zapobiedz tworzeniu się zbędnego śmietnika -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
![]() |
![]()
Post
#2
|
|
![]() Grupa: Przyjaciele php.pl Postów: 1 717 Pomógł: 0 Dołączył: 12.06.2002 Skąd: Wolsztyn..... Studia: Zielona Góra Ostrzeżenie: (0%) ![]() ![]() |
Cytat Przestrzegam natomiast przed sytuacją, w której jeden klucz służy nam do wszystkich zamków w domu, bo ktoś wścibski, "rozpracowawszy" zamek do komórki z węglem, spróbuje tym samym kluczem otworzyć sejf za obrazem. A tak na marginesie: jeżeli ktoś włamie Ci się do systemu i wyciągnie hasche haseł, to wyciągnie równieżdowolne inne informacje, więc po co miałby się bawić w odkodowywanie tych haseł? Na przyklad po to o czym napisales w pogrubionym akapicie. Majac haslo danej osoby mozna sprobowac tym samym haslem wejsc na jakies inne serwisy, w ktorych jest ona zarejestrowana.. kto wie czy ludzie nie daja takich samych hasel do maila, na ktorego sie zarejestrowali, a majac baze prawdopodobnie jestesmy w ich posiadaniu, a to juz cos. Ewentualnie ktos moze miec po prostu ochote namieszac ludziom na kontach, takich dowcipnisiow tez nie brakuje. Nie zawsze motywem musza byc jakies profity. Cytat Cytat Nie zdziwiłbym się, gdyby ten serwis "karmił" swoją bazę wpisywanymi tam hasłami... Przeciez on tak wlasnie robi. Jak wpiszecie haslo nie bedace hashem md5, ktorego jeszcze nie ma w bazie to pojawia sie informacja "Result saved", wiec to jest baza budowana przez ludzi. Co do podwojnego hashowania to ja sugeruje jeszcze troche inna metode. Samo md5(md5) ma taka wade, ze kilka osob z tym samym haslem (zdziwilibyscie sie jak duzo osob uzywa powiedzmy 'standardowych' 123456 czy czegos podobnego kalibru) otrzyma takiego samego hasha. Nie jest to dobre, bo lamiac jedno takie haslo mamy dostep do wszystkich kont z tym samym hashem. Dlatego ja stosuje cos w rodzaju sha( 'jakis_ciag' + sha(haslo)), gdzie 'jakis_ciag' to jest jakis string wygenerowany w jakis sposob z danych tego uzytkownika (musi byc za kazdym razem taki sam, zeby za kazdym razem byl generowany taki sam hash). W najprostszej wersji moze to byc chociazby sam login (albo nawet jego hash, zeby za latwo nie bylo ;]) lub tez jakas inna kombinacja niezmienialnych danych o uzytkowniku. -------------------- Brak czasu :/
|
|
|
![]() ![]() |
![]() |
Wersja Lo-Fi | Aktualny czas: 18.06.2024 - 07:50 |