Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

7 Stron V  < 1 2 3 4 > »   
Reply to this topicStart new topic
> podwójne hashowanie haseł, ogólnie n-hashowanie
nospor
post 24.03.2006, 11:58:22
Post #21





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




Cytat
md5 da się odhaszować.
http://md5.rednoize.com/
Więc lepiej używać sha1
To jest akurat przykład na łamanie "łatwych haseł". Link ten, lamie hasla, które skaladają sie tylko z liter. Przykladowo zlamal mi takei hasla:
kaczor
mama
ale wystarczylo, ze zamiasta a dalem 4, albo zamiast o dalem 0 (zero), i juz nie znalazl:
k4czor
kacz0r
m4ma

W łamaniu hasel duża wina leży po stronie uzytkownika. Od stopnia skomplikowania swego hasla. Im mniejszy stopien, tym szybciej go zlamac.

Kiedys jeden z największych hackerów na świecie powiedzial, że byl najlepszy nie dlatego ze umial lamac kody, ale dlatego, ze znal mentalność ludzką, która jest największym sprzymierzeńcem hackera. To zadzwonil do Pani krysi, powiedzial ze zapomnial hasla lub jakas inna bajeczka i ona mu podawala wszystko jak na tacy.
Albo zbieral dane o osobie. Imie żony, dziecka i takie tam. Mamy niestety (jako ludzie) takie sklonnosci, ze wlasnie takie nadajemy hasla: imie zony, rok urodzenia lub podobne. Nie mowię ze wszyscy winksmiley.jpg Ale spora grupa osób tak robi.

Podobnie jest tutaj. Chcemy miec bezpieczne hasla? Zadbajmy oto sami smile.gif
Oczywiście jesli i dany serwis nam w tym pomoże, to też nie zaszkodzi winksmiley.jpg

ps: mojego hasla nie zlamal biggrin.gif


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
kszychu
post 24.03.2006, 12:28:06
Post #22





Grupa: Przyjaciele php.pl
Postów: 2 712
Pomógł: 23
Dołączył: 27.10.2003
Skąd: z kontowni

Ostrzeżenie: (0%)
-----


Cytat(lenzcewski @ 2006-03-24 11:41:30)
Przy Twoim rozumowaniu po co wogule kodować hasła?

Nie zrozum mnie źle, nie twierdzę, że nie należy kodować haseł. Tak czy inaczej jednak, każde zabezpieczenia można złamać.
Mówimy tutaj jednak o sytuacji, w której cyfrowym zamkiem najnowszej generacji zamykamy drewniany składzik z węglem. Da się obejść nawet taki zamek, tylko uważam, że nawet zwykła kłódka byłaby wystarczającym zabezpieczeniem, bo po co się włamywać do komórki z węglem.
Przestrzegam natomiast przed sytuacją, w której jeden klucz służy nam do wszystkich zamków w domu, bo ktoś wścibski, "rozpracowawszy" zamek do komórki z węglem, spróbuje tym samym kluczem otworzyć sejf za obrazem.

A tak na marginesie: jeżeli ktoś włamie Ci się do systemu i wyciągnie hasche haseł, to wyciągnie równieżdowolne inne informacje, więc po co miałby się bawić w odkodowywanie tych haseł?

Cytat

Nie zdziwiłbym się, gdyby ten serwis "karmił" swoją bazę wpisywanymi tam hasłami...


--------------------
"Coś się kończy, coś się zaczyna." Andrzej Sapkowski
Go to the top of the page
+Quote Post
FiDO
post 24.03.2006, 13:23:39
Post #23





Grupa: Przyjaciele php.pl
Postów: 1 717
Pomógł: 0
Dołączył: 12.06.2002
Skąd: Wolsztyn..... Studia: Zielona Góra

Ostrzeżenie: (0%)
-----


Cytat
Przestrzegam natomiast przed sytuacją, w której jeden klucz służy nam do wszystkich zamków w domu, bo ktoś wścibski, "rozpracowawszy" zamek do komórki z węglem, spróbuje tym samym kluczem otworzyć sejf za obrazem.

A tak na marginesie: jeżeli ktoś włamie Ci się do systemu i wyciągnie hasche haseł, to wyciągnie równieżdowolne inne informacje, więc po co miałby się bawić w odkodowywanie tych haseł?

Na przyklad po to o czym napisales w pogrubionym akapicie. Majac haslo danej osoby mozna sprobowac tym samym haslem wejsc na jakies inne serwisy, w ktorych jest ona zarejestrowana.. kto wie czy ludzie nie daja takich samych hasel do maila, na ktorego sie zarejestrowali, a majac baze prawdopodobnie jestesmy w ich posiadaniu, a to juz cos.
Ewentualnie ktos moze miec po prostu ochote namieszac ludziom na kontach, takich dowcipnisiow tez nie brakuje. Nie zawsze motywem musza byc jakies profity.

Cytat
Cytat

Nie zdziwiłbym się, gdyby ten serwis "karmił" swoją bazę wpisywanymi tam hasłami...

Przeciez on tak wlasnie robi. Jak wpiszecie haslo nie bedace hashem md5, ktorego jeszcze nie ma w bazie to pojawia sie informacja "Result saved", wiec to jest baza budowana przez ludzi.

Co do podwojnego hashowania to ja sugeruje jeszcze troche inna metode. Samo md5(md5) ma taka wade, ze kilka osob z tym samym haslem (zdziwilibyscie sie jak duzo osob uzywa powiedzmy 'standardowych' 123456 czy czegos podobnego kalibru) otrzyma takiego samego hasha. Nie jest to dobre, bo lamiac jedno takie haslo mamy dostep do wszystkich kont z tym samym hashem. Dlatego ja stosuje cos w rodzaju sha( 'jakis_ciag' + sha(haslo)), gdzie 'jakis_ciag' to jest jakis string wygenerowany w jakis sposob z danych tego uzytkownika (musi byc za kazdym razem taki sam, zeby za kazdym razem byl generowany taki sam hash).
W najprostszej wersji moze to byc chociazby sam login (albo nawet jego hash, zeby za latwo nie bylo ;]) lub tez jakas inna kombinacja niezmienialnych danych o uzytkowniku.


--------------------
Brak czasu :/
Go to the top of the page
+Quote Post
kszychu
post 24.03.2006, 14:04:57
Post #24





Grupa: Przyjaciele php.pl
Postów: 2 712
Pomógł: 23
Dołączył: 27.10.2003
Skąd: z kontowni

Ostrzeżenie: (0%)
-----


Cytat(FiDO @ 2006-03-24 13:23:39)
Na przyklad po to o czym napisales w pogrubionym akapicie. Majac haslo danej osoby mozna sprobowac tym samym haslem wejsc na jakies inne serwisy, w ktorych jest ona zarejestrowana.. kto wie czy ludzie nie daja takich samych hasel do maila, na ktorego sie zarejestrowali, a majac baze prawdopodobnie jestesmy w ich posiadaniu, a to juz cos.

Dlatego napisałem, że tylko głupcy używają tego samego hasła do róznych rzeczy.


--------------------
"Coś się kończy, coś się zaczyna." Andrzej Sapkowski
Go to the top of the page
+Quote Post
FiDO
post 24.03.2006, 17:00:16
Post #25





Grupa: Przyjaciele php.pl
Postów: 1 717
Pomógł: 0
Dołączył: 12.06.2002
Skąd: Wolsztyn..... Studia: Zielona Góra

Ostrzeżenie: (0%)
-----


Ja tak robie tongue.gif

Oczywiscie nie ot tak sobie przypadkowo.. mam zestaw kilku hasel o zroznicowanym stopniu skomplikowania oraz kilka ich wariacji (rozniacych sie z reguly kilkoma znakami). Uzywam ich zgodnie ze stopniem waznosci danego konta, wiec rzeczy najwazniejsze maja te najtrudniejsze hasla (nawet i ok 25 znakow), a rzeczy o najnizszym priorytecie maja te prostsze (i w sumie tylko te hasla i ich wariacje sie powtarzaja).
Gdybym mial wymyslac osobne haslo do kazdego konta to mialbym problem z ich zapamietaniem. A w ten sposob hasel "glownych" mam dosc malo, pamietam wszystkie ich wariacje, wiec w sumie mam do dyspozycji kilkanascie roznych kombinacji. O ile hasel raczej nie zapominam to zdarza mi sie czasem zapomniec, ktore uzywam do jakiegos tam rzadko uzywanego konta. Jakbym mial ich wiecej to sprawa by sie jeszcze skomplikowala, a zapisywac hasel na dysku (czy innej pamieci zewnetrznej w stosunku do glowy) nie mam zamiaru smile.gif


--------------------
Brak czasu :/
Go to the top of the page
+Quote Post
shpyo
post 24.03.2006, 23:46:19
Post #26





Grupa: Zarejestrowani
Postów: 574
Pomógł: 2
Dołączył: 13.04.2004
Skąd: Lublin

Ostrzeżenie: (0%)
-----


Cytat(E-d @ 2006-03-24 12:36:29)
md5 da się odhaszować.
http://md5.rednoize.com/
Więc lepiej używać sha1

sha1 to już przeszłość - został złamany przez dwie Chinki.


--------------------
Go to the top of the page
+Quote Post
UsTeK
post 3.04.2006, 18:05:51
Post #27





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 23.07.2003

Ostrzeżenie: (0%)
-----


Cytat
sha1 to już przeszłość - został złamany przez dwie Chinki.

A co to znaczy że został złamany? Znaleziono kolizję? W takim razie kiedy złamano MD5? Dlaczego więc nadal używa się MD5?

Moja propozycja to:
  1. <?php
  2. $pass = md5( sha1($_POST['pass']) . $_POST['pass'] );
  3. ?>



//Edit:
Sorrki, głupote walnąłem, miało być na odwrót:
  1. <?php
  2. $pass = sha1( md5($_POST['pass']) . $_POST['pass'] );
  3. ?>

Dlaczego tak? B-F dla sha1 jest o wiele mniej popularny, a dodanie md5($_POST['pass']) sprawia, że RainbowTable jest bezużyteczny.



Pozdrawiam,
UsTeK

Ten post edytował UsTeK 3.04.2006, 18:53:59
Go to the top of the page
+Quote Post
Vengeance
post 3.04.2006, 19:17:35
Post #28





Grupa: Zarejestrowani
Postów: 657
Pomógł: 2
Dołączył: 15.08.2003
Skąd: Łódź

Ostrzeżenie: (0%)
-----


Dlaczego twierdzicie, że n-hash kompletnie nic nie daje? Wg mnie, przy metodzie brute-force zwiększa czas potrzebny na pozyskanie hasła (i to do czasu wrecz nieosiagalnego dla nas... kilkadziesial latek).

Może uzasadnie jak to widze (jesli sie myle poprawcie):
Jezeli uzytkownik zakoduje haslo 'test' metoda brute-force sprawdzajaca po kolei alfabet dosc szybko zwroci wynik. Ale przy podwojnym hashu, najpierw trzeba bedzie odgadnac 1 hash, a dopiero potem realne hasło. Biorac pod uwage, jak ciezej jest trafic w 32 znakowe haslo (w stosunku do tego 4 znakowego) chyba nikt mi nie powie, ze 2xmd5 jest bezsensu?

Ja to traktuje jako zwykle "wzmocnienie" hasla uzytkownika. Z takieog 4 znakowego na 32...


--------------------
Go to the top of the page
+Quote Post
nospor
post 3.04.2006, 19:31:41
Post #29





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




Cytat
Jezeli uzytkownik zakoduje haslo 'test' metoda brute-force sprawdzajaca po kolei alfabet dosc szybko zwroci wynik. Ale przy podwojnym hashu, najpierw trzeba bedzie odgadnac 1 hash, a dopiero potem realne hasło. Biorac pod uwage, jak ciezej jest trafic w 32 znakowe haslo (w stosunku do tego 4 znakowego) chyba nikt mi nie powie, ze 2xmd5 jest bezsensu?
Przy metodzie brute force, generuje się hasla, anie hashe. potem te haslo wysyla się na serwer lub tez wykonuje te samo hashowanie co na serwerze. Tak wiec dla b-f bez roznicy jest przez co to haslo zostanie zmielone, gdyz generujemy hasla a nie kolejne kroki mielenia.
Te kolejne hashe, mogą wydluzyc czas znalezienia hasla metodą b-f, gdyż trzeba dodatkowo x -razy wywolac te md5, ktore jakis tam czas sie wykonuje.

Ja osobiscie juz troche inaczej patrze na to mieszanie hashy, ale to tylko ze względu na te slowniki co juz w necie są


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
popo
post 3.04.2006, 20:03:29
Post #30





Grupa: Zarejestrowani
Postów: 85
Pomógł: 0
Dołączył: 15.07.2005

Ostrzeżenie: (0%)
-----


2xmd5 = 2x wieksza szansa na kolizje.
Z prostego powodu, ze md5 jest stratny.
Istnieje wiec realna szansa, ze pomimo podania 2 roznych hasel mozesz dostac ten sam hasz 2 poziomu.
Jesi haszujesz md5 to wlamywacz nie musi wcale szukac oryginalnego tekstu, a jedynie cos co da mu klucz 1 poziomu. Jak juz to cos znajdzie to hasz 2 poziomu sam sie wygeneruje identycznie jak dla poprawnego hasla.
Poza tym nie musi on trafic w idealnie ten sam hasz 1 poziomu a jedynie w jeden z wielu ktore dadza mu w rezultacie hasz 2 poziomu co w rezultacie znacznie zwieksza szanse na trafienie.

Zagniezdrzanie md5 samego w sobie nie jest raczej dobrym pomyslem, zreszta zagnierzdzanie jakiegokolwiek "haszowania" nie jest polecane (zwieksza sie strate informacji, a co za tym idzie zwieksza prawdopodobienstwo trafienia w "kolizje")

Mozna oczywiscie zastosowac inne algorytmy szyfrowania, ale to raczej malo ekonomiczne i jak ktos wlamie sie na serwer, to i tak za wiele nie da bo bedzie mogl sobie obejrzec algorytm szyfrujacy. Chyba ze umiescimy go poza obszarem dostepnym z internetu, czyli wwwroot. W wielu serwisach udostepniajacych uslugi hostingowe moze to jednak stanowic powazny problem.

co do nieslabnacej popularnosci md5 to ... niestety na wielu serwerach nie ma mozliwosci uzywania sha1 (znam conajmniej 2 takie i to platne)
Tam, zmuszony jestes stosowac md5

Pewnym pomyslem moze byc dodawanie jakiegos dodatkowego ciagu do hasel userow tyle, ze problem taki sam jak poprzednio w razie zlamania zabezpieczen wlamywacz najprawdopodobniej bedzie mogl sobie podejrzec ten ciag

Najlepszym wiec sposobem na zabespieczenie userow jest uswiadomienie im jak wazne jest wybranie odpowiednio dlugiego i trudnego do odganiecia hasla.

Mozna tez stosowac wstepne sprawdzanie hasel proponowanych przez userow i poprostu odrzucac te zbyt proste lub oczywiste (cos na wzor cracklib uzywanego do eliminowania slabych hasel userow przy ich zmianie dla kont shelowych)

Jest to oczywiscie utrudnieniem dla uzytkownikow i nie zawsze mozna stosowac tego typu praktyki
Go to the top of the page
+Quote Post
Vengeance
post 3.04.2006, 21:36:24
Post #31





Grupa: Zarejestrowani
Postów: 657
Pomógł: 2
Dołączył: 15.08.2003
Skąd: Łódź

Ostrzeżenie: (0%)
-----


Cytat
Tak wiec dla b-f bez roznicy jest przez co to haslo zostanie zmielone, gdyz generujemy hasla a nie kolejne kroki mielenia.


Ja mówiłem o najczęstrzej sytuacji... gdzie ktoś np. uzyskuje dostęp do bazy sql czy też w jakiś inny sposób poznaje hash hasła użytkownika. W tym momencie, odgadniecie hasla metoda bruteforce przy dwukrotnym hashu jest bedzie duzo trudniejsze!

"2xmd5 = 2x wieksza szansa na kolizje." Przykro mi, że nie mam tak potężnej wiedzy w kryptografii, iż nie mogę tego ani poprzezć ani obalić. Ale na "mój nos" mogę powiedzieć, że nigdy się z tobą nie zgodzę w tej kwestii winksmiley.jpg

Powracając znów do wypowiedzi nospora, jeżeli mówimy o metodzie b-f na zasadzie: wyślij formularz POST do skryptu logowanie.php to i najlepsze alg. nic nie poradzą :] Powótrze jeszcze raz, ja mówie o sytuacji gdzie ktoś w jakiś sposób zdobywa 32 znaki z zakresu 0-9a-f :]


--------------------
Go to the top of the page
+Quote Post
nospor
post 3.04.2006, 21:43:26
Post #32





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




Cytat
Ja mówiłem o najczęstrzej sytuacji... gdzie ktoś np. uzyskuje dostęp do bazy sql czy też w jakiś inny sposób poznaje hash hasła użytkownika. W tym momencie, odgadniecie hasla metoda bruteforce przy dwukrotnym hashu jest bedzie duzo trudniejsze!

Powracając znów do wypowiedzi nospora, jeżeli mówimy o metodzie b-f na zasadzie: wyślij formularz POST do skryptu logowanie.php to i najlepsze alg. nic nie poradzą :] Powótrze jeszcze raz, ja mówie o sytuacji gdzie ktoś w jakiś sposób zdobywa 32 znaki z zakresu 0-9a-f :]
Nie, no oczywiscie, jezeli ktos zdobedzie hasha i mysli ze ten hash powstal w wyniku jednokrotnego uzycia md5, to i faktycznie nie znajdzie metodą b-f hasla, gdy bedzie tylko raz przepuszczal przez md5. Ale jezeli ten ktos, wie, ze to bylo dwa razy md5, to na nic to, ze to bylo dwa razy md5. Takie samo zabezpieczenia co by bylo tylko raz. Przeciez wowczas hacker wie, jak ma mielic do b-f smile.gif


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
Vengeance
post 3.04.2006, 21:49:30
Post #33





Grupa: Zarejestrowani
Postów: 657
Pomógł: 2
Dołączył: 15.08.2003
Skąd: Łódź

Ostrzeżenie: (0%)
-----


"Ale jezeli ten ktos, wie, ze to bylo dwa razy md5, to na nic to, ze to bylo dwa razy md5. Takie samo zabezpieczenia co by bylo tylko raz."

Wiesz ile setek lat by trwało "trafienie" w 32 znakowy hash, który wygenerował ten drugi hash? biggrin.gif Także uważam, że 2xHash (czy jakie kolwiek inne sposoby na dodawanie smieci do hasla usera zanim je zahashujemy) ma sens.


--------------------
Go to the top of the page
+Quote Post
nospor
post 3.04.2006, 22:07:15
Post #34





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




widze że się nie rozumiemy smile.gif

koles gdy robi b-f, generuje hasla w postaci jawnej, a nie hashe. I skoro wie, jak je potem mielic, to dla niego juz bez roznicy, czy raz md5 czy dwa razy, gdyż niezależnie od tego on generuje hasla. Czas jaki się zwiększy na znalezienie hasla, to tylko o te dodatkowe jedno wykonanie funkcji md5() (oczywiscie w petli).


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
Vengeance
post 3.04.2006, 22:09:57
Post #35





Grupa: Zarejestrowani
Postów: 657
Pomógł: 2
Dołączył: 15.08.2003
Skąd: Łódź

Ostrzeżenie: (0%)
-----


No tak racja, o ile wie ;] Najczęściej nie wie i skapnie się dopiero po 150x latach, gdy w rezultacie otrzyma 32 znakowe hasło snitch.gif


--------------------
Go to the top of the page
+Quote Post
popo
post 3.04.2006, 22:44:57
Post #36





Grupa: Zarejestrowani
Postów: 85
Pomógł: 0
Dołączył: 15.07.2005

Ostrzeżenie: (0%)
-----


Vengance on nawet nie musi tego wiedziec cala brudna robote odwala za niego twoje wlasne skrypty tongue.gif btw moja opinia oparta jest o raczej dobrze poinformowane zrodla, a co do wyciagania z hashy hasel to erm nie musi zgadnac jedynego poprawnego wystarczy ze znajdzie cos co daje taki hash a jesli wlamie sie na twoje konto na serwerze to pewnikiem zdola przejrzec skrypty a wtedy no cuz smile.gif
dodawanie jakichs losowych ciagow do hasel ma sens ale nie zawsze (jesli masz mozliwosc ukryc totalnie przed dostepem z zewnatrz to cos co dodajesz to ok zwiekszy dlugosc hasla i cos co zostanie zdekodowane z hasza wprowadzone na stronce nie zadziala, jednak nie daje to zadnej ochrony porzed atakami z sieci na twoj serwis typu brute force najlepiej przed tym chronia te "powszechnie lubiane obrazki z koslaymi niewyraznymi losowymi literkami i cyferkami (nie widzialem jeszcze automatu ktory by to potrafil ominac)
Go to the top of the page
+Quote Post
Vengeance
post 3.04.2006, 22:58:49
Post #37





Grupa: Zarejestrowani
Postów: 657
Pomógł: 2
Dołączył: 15.08.2003
Skąd: Łódź

Ostrzeżenie: (0%)
-----


Te obrazki zwą sie "captcha" i sa automaty je odczytujące (ofc nie wszystkie).
Jest nawet stronka/projekt w necie skupiająca programistów tworzących czytniki takowych.

Swego czasu anakin napisał skrypt w php! o 100% skuteczności odczytywania takich obrazków przy rejestracji w GaduGadu - to dlatego 3 dni potem zostały one zmienione na takie jak te widoczne dziś winksmiley.jpg


--------------------
Go to the top of the page
+Quote Post
Kuziu
post 3.04.2006, 23:03:47
Post #38





Grupa: Zarejestrowani
Postów: 743
Pomógł: 0
Dołączył: 11.11.2003
Skąd: Toruń

Ostrzeżenie: (0%)
-----


~Vengeance Zrób taki mały test:

Zakoduj sobie np. 'fgfwe34r3ferg45twerg' ... czyli obojętnie jaki ciąg którego

http://md5.rednoize.com/

Nie pozna

a potem zrób to samo z słowa którego nie poznało.

Będziesz miał jasną odpowiedź.

Łatwiej im było zrobić wszystki 32 znakowe ciągki z zakresu a-f-1-9 zrobić B-F niż wszystkie pozostałe ciągi.

Więc gdy bym dostał ten Twój 2xmd5 to w moment bym go mial a normalnego gerg345r38jv934 bym tak szybko nie dostał


--------------------
Słońce zachodzi ... kolejna noc nadchodzi ...
Go to the top of the page
+Quote Post
chomiczek
post 18.04.2006, 08:33:09
Post #39





Grupa: Zarejestrowani
Postów: 271
Pomógł: 4
Dołączył: 5.01.2005

Ostrzeżenie: (0%)
-----


trochę odświeże temat:
http://www.stachliu.com/collisions.html pod tym adresem jest do pobrania programik, który potrafi w ciągu kilkudziesięciu minut na domowym PC wygenerować kolidujący z podanym skrót MD5.

Dodatkowo na plus za SHA-1 przemawia fakt, że funkcja ta jest standardem wykorzystywanym przez agencje rządowe Stanów Zjednoczonych Ameryki Północnej.


--------------------
created by chomiczek
Go to the top of the page
+Quote Post
thornag
post 6.11.2006, 17:34:16
Post #40





Grupa: Zarejestrowani
Postów: 504
Pomógł: 2
Dołączył: 31.03.2006
Skąd: Londyn

Ostrzeżenie: (0%)
-----


Odswierzam troche temat ale mysle ze moje pytanie najlepiej pasuje wlasnie do tego,

Kod
md4 md5 sha1 sha256 sha384 sha512 ripemd128 ripemd160 whirlpool tiger128, 3 tiger160, 3 tiger192, 3 tiger128, 4 tiger160, 4 tiger192, 4 snefru gost adler32 crc32 crc32b haval128, 3 haval160, 3 haval192, 3 haval224, 3 haval256, 3 haval128, 4 haval160, 4 haval192, 4 haval224, 4 haval256, 4 haval128, 5 haval160, 5 haval192, 5 haval224, 5 haval256, 5


To sa algorytmu mieszajace dostepne u mnie na serwerze. Wszedzie slysze tylko o md5 i sha1, co mozecie powiedziec o reszcie ? Sa przestarzale ? Niezbyt bezpieczne ? Dlaczego zamiat sha1 nie stosowac sha256, string jest dluzszy, fakt faktem zajmuje zdecydowanie wiecej miejsca ale i ryzyko kolizji jest chyba mniejsze. Co z pozostalymi ? Dlaczego taie jak haval, tiger czy whirlpool sa tak malo popularne ?


--------------------
"Wizja czasu jest szeroka, lecz kiedy sie przez nia przechodzi, czas staje sie waskimi drzwiami"

Go to the top of the page
+Quote Post

7 Stron V  < 1 2 3 4 > » 
Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 28.03.2024 - 15:36