Wpis z mikrobloga

@notavailable: nie

@notavailable: nie

@notavailable: Jeśli dobrze rozumiem to te cyferki na końcu po hashtagu oznaczają ilość znaków w zahashowanych hasłach. Jeśli twoje hasło będzie miało ich więcej, to tablice są do wyrzucenia. Dodatkowo jeśli admin bazy jest ogarnięty, to hasła zostały posolone.

@notavailable: chyba mało przydatne, bo wszędzie stosuje się sól

@notavailable: I coraz rzadziej się używa md5, jakieś 6 lat temu to był standard we wszystkich aplikacjach os, ale teraz się od tego odchodzi na rzecz bcrypta.

@notavailable: Dokładnie. Np. md5_loweralpha#1-10 to tablica tęczowa, która zawiera wszystkie kombinacje cyfr i małych liter (zakładam, że z alfabetu łacińskiego tylko) o długości od 1 do 10 znaków wraz z ich hashami w md5.

@Atomic_Cookie: MD5 (jak wszystkie pozostałe funkcje skrótu) nawet z solą nie są bezpieczne. Czemu? Bo dość łatwo znaleźć kolizję, a ich obliczanie jest szybkie. Dla tego do składowania powinno używać się funkcji w stylu bcrypt i to jeszcze zagłębionych parę razy. Przez to, że czas ich wykonywania rośnie wykładniczo. Więc 10 zagłębień jest dostateczne, a praktycznie niemożliwe do przetestowania przez napastnika.

Słowem, napastnik może nie pozna dokładnego hasła, ale muPokaż całość

@Hauleth: niby jak? każda tablica musiała by być zrobiona dla każdej soli osobno...

@notavailable: md5 ma 128 bitów, bardzo łatwo policzyć ile musiałaby mieć kompletna tablica. Dużo.

@Hauleth: Przy czym naprawdę warto podkreślić, że w 99% jeśli nie robimy strony na miarę Allegro, Facebooka czy innego Google, to takie metody zabezpieczenia są aż nadto przesadzone.