![]() |
Модераторы: skyboy, MoLeX, Aliance, ksnk |
![]() ![]() ![]() |
|
Muerto |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1207 Регистрация: 23.9.2006 Репутация: 3 Всего: 4 |
После пару лекций в универе по структурам данных, я вот подумал а ведь md5 hash не уникален всегда...
Ибо вариантов текста очень очень много, а букв для хэша всего то 32 ![]() Таки посмотрел в википедии что об этом говорят http://en.wikipedia.org/wiki/MD5 Таки md5 не панацея... и сайты взламывались ибо можно получить тот же хэш с разной последовательности букв... В тот час как SHA-2 похоже лучше http://en.wikipedia.org/wiki/SHA-2 Но тож не панацея пока есть ограниченное количество символов ![]() --- Я бы не спал спокойно использовав md5 для хеширования чувствительных данных |
|||
|
||||
Gold Dragon |
|
|||
![]() Призрачный ![]() ![]() ![]() ![]() Профиль Группа: Экс. модератор Сообщений: 6753 Регистрация: 1.3.2004 Где: Россия, Тамбов Репутация: 10 Всего: 71 |
вообще-то рекомендуют применять MD5 с "мусором"
![]() Но с другой стороны, есть целые сервера со словарём порядка 160 млн паролей.. Так что основной взлом - это перебор паролей. Просто внимательно нужно относится к требования к паролям -------------------- Нельзя жить в прошлом, оно уже прошло. Нельзя жить в будущем, оно ещё не наступило. Нужно жить в настоящем, помня прошлое и думая о будущем! |
|||
|
||||
CruorVult |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 868 Регистрация: 24.9.2008 Где: г.Киев, Украина Репутация: 9 Всего: 28 |
||||
|
||||
Muerto |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1207 Регистрация: 23.9.2006 Репутация: 3 Всего: 4 |
CruorVult, А вы можете делать хоть миллион раз md5, все равно будет 32 символа, и хэш можно подделать совсем другими данными...
В википедии пример есть , причем оч короткий который дает один и тот же хэш |
|||
|
||||
Gold Dragon |
|
|||
![]() Призрачный ![]() ![]() ![]() ![]() Профиль Группа: Экс. модератор Сообщений: 6753 Регистрация: 1.3.2004 Где: Россия, Тамбов Репутация: 10 Всего: 71 |
CruorVult, можно и так... А нужна ли такая безопасность для простых форумов или сайтов? Зачем увеличивать размеры базу данных о пользователей когда проще ужесточить требования к паролям и заставить пользователей их менять чаще
Добавлено через 48 секунд Muerto, скорее всего имелось 32+32+64 символа ![]() Добавлено через 1 минуту и 48 секунд
-------------------- Нельзя жить в прошлом, оно уже прошло. Нельзя жить в будущем, оно ещё не наступило. Нужно жить в настоящем, помня прошлое и думая о будущем! |
|||
|
||||
Muerto |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1207 Регистрация: 23.9.2006 Репутация: 3 Всего: 4 |
md5 кстати это не только пароли... часто всякие там ssl проверяются по алгоритмам хеширования., но хэш вещь НЕ УНИКАЛЬНАЯ
--- А на тему подбора паролей - Забыв о хаше - так ли просто подобрать пароль? допустим пароль длинной 8 символов... у нас в англо-фовите есть 26 букв умножим на два ибо есть английские крупные . и добавим цифры и того 26*2+10=62 Теперь мы хотим создать пермутацию с повторениями и того 62^8 После трех попыток любой нормальный сайт тупо посылает на перерыв на пол часа - а ещё умней генерировать новый пароль + посылать. Но когда можно менять ай пи и работать с сотнями компами параллельно... Это сообщение отредактировал(а) Muerto - 11.5.2011, 11:36 |
|||
|
||||
CruorVult |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 868 Регистрация: 24.9.2008 Где: г.Киев, Украина Репутация: 9 Всего: 28 |
я просто привел самый элементарный способ как обойти сервера вот и всё. На самом деле так практически никто не делает) Добавлено @ 11:37 и вообще если аккаунт захотят взломать - то взломают независимо от того зашифрован ли пароль и как ;) это дело времени. Это сообщение отредактировал(а) CruorVult - 11.5.2011, 11:38 |
|||
|
||||
cutwater |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 592 Регистрация: 24.6.2008 Репутация: 1 Всего: 10 |
CruorVult, глупость. учить теорию. Muerto, Сюрприз да? Учить теорию. о том что MD5 это 32 символа говорят только первокурсники и пхпшники. Википедия не авторитетный источник в данном вопросе. Изучать стойкость хеш-функций к коллизиям первого и второго рода. Прекращать преждевременную панику и нести чушь. Для предотвращения использования rainbow table уже давно известен способ использовать hash(M || salt) На последок прекратить делать велосипеды и если интересно разобраться в реализациях механизмов аутентификации в любом более менее нормальном движке (django.contrib.auth, etc.) и изучать криптографию. |
|||
|
||||
cutwater |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 592 Регистрация: 24.6.2008 Репутация: 1 Всего: 10 |
[deleted]
Это сообщение отредактировал(а) cutwater - 11.5.2011, 11:41 |
|||
|
||||
Gold Dragon |
|
|||
![]() Призрачный ![]() ![]() ![]() ![]() Профиль Группа: Экс. модератор Сообщений: 6753 Регистрация: 1.3.2004 Где: Россия, Тамбов Репутация: 10 Всего: 71 |
- перестановки порядка - удалении гласных/согласных - использование транслита - подстановки цифр в конец/начало - перебор заглавных/строчных - и т.п. Т.ч. Просто если задаться целью.. Поэтому и говорю... важны требования к паролю... -------------------- Нельзя жить в прошлом, оно уже прошло. Нельзя жить в будущем, оно ещё не наступило. Нужно жить в настоящем, помня прошлое и думая о будущем! |
|||
|
||||
Muerto |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1207 Регистрация: 23.9.2006 Репутация: 3 Всего: 4 |
CruorVult, Если после 3трех не верных попыток менять пароль... то статистически нужно будет 62^8 попыток...
сложно представить сколько нулей в таком числе... может легче будет представить (10^8)*(6^8) грубо это 10^8 * 2M примерно что выходит сотню миллионов раз миллион это ОЧЕНЬ ОЧЕНЬ ОЧЕНЬ много... потребуется много лет.... хз даж сколько лень считать дальше ![]() |
|||
|
||||
cutwater |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 592 Регистрация: 24.6.2008 Репутация: 1 Всего: 10 |
Muerto, Учить матчасть. Хеширование пароля не предотвратит от взлома грубой силой (имелся ввиду описываемый способ через интерфейс разумеется). Хеширование используется для того чтобы не хранить пароли в открытом виде в базе. Учите матчасть еще раз повторяю.
Это сообщение отредактировал(а) cutwater - 11.5.2011, 12:19 |
|||
|
||||
Muerto |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1207 Регистрация: 23.9.2006 Репутация: 3 Всего: 4 |
cutwater, А никто панику не поднимает, и чуши здесь нету не разу
![]() Я цифры просто так привел что бы показать что тупо простой пароль 8 символов почти нереально взломать в разумных рамках. А проблемы md5 идут далеко за рамки простого пароля, который никого особо не волнует --- Часто слышу пустые слова вроде "у нас защита по md5" , чего это защищает не оч ясно In an attack on MD5 published in December 2008, a group of researchers used this technique to fake SSL certificate validity (с) http://en.wikipedia.org/wiki/MD5 Это сообщение отредактировал(а) Muerto - 11.5.2011, 11:49 |
|||
|
||||
CruorVult |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 868 Регистрация: 24.9.2008 Где: г.Киев, Украина Репутация: 9 Всего: 28 |
||||
|
||||
Gold Dragon |
|
|||
![]() Призрачный ![]() ![]() ![]() ![]() Профиль Группа: Экс. модератор Сообщений: 6753 Регистрация: 1.3.2004 Где: Россия, Тамбов Репутация: 10 Всего: 71 |
Muerto, тогда вернись к началу... Для чего нужны хэш-функции? Только для сравнения данных. Если тебе нужно шифрование, то стоит воспользоваться другими системами
Добавлено через 4 минуты и 54 секунды а вообще - это философский вопрос... Если человеку нужно быстро ездить, он использует машину, если ещё быстрее, то самолёт.. И тут тоже самое, MD5 хорош для своего и требовать от него сверхъестественное просто не серьёзно ![]() -------------------- Нельзя жить в прошлом, оно уже прошло. Нельзя жить в будущем, оно ещё не наступило. Нужно жить в настоящем, помня прошлое и думая о будущем! |
|||
|
||||
![]() ![]() ![]() |
Правила форума "PHP" | |
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |