Комментарии: Правильно храним пароли в БД

Автор: Денис Каратаев

Денис Каратаев — Fri, 05 Jun 2009 18:17:32 +0000

>К слову, md5 уже взломали (вбейте в гугле md5 collision)

да, я это и имел ввиду

Автор: Алекс

Алекс — Fri, 05 Jun 2009 12:32:15 +0000

Польза sha1 и соли заключается и в том, что, если взломщик сумел подобрать коллизию, войти на сайт с другим паролем будет уже невозможно.
К слову, md5 уже взломали (вбейте в гугле md5 collision)

Автор: Lander

Lander — Thu, 04 Jun 2009 15:36:02 +0000

Денис Каратаев, коллизии возникают в любой хеш функции! И, кстати, коллизию вычислить не сложно, достаточно использовать парадокс дня рождения. Но к сожалению это всё слабо применимо к реверсированию хеш-функций!

Автор: Денис Каратаев

Денис Каратаев — Wed, 03 Jun 2009 13:22:22 +0000

День добрый.
Позволю себе добавить, чем еще SHA-1 лучше чем MD5.

Не так давно было обнаружено, что в алгоритме MD5 могут возникать коллизии (это когда один и тот же хэш может быть получен из разных строк), что небезопасно. Существуют группы хакеров, вычисляющих коллизии.

Добавляю Вас в RSS. Будем дружить

Автор: Lander

Lander — Mon, 02 Mar 2009 10:59:57 +0000

novice, сорри. Значит я не правильно понял. Я понял, что использование SHA обусловлено тем, что сервис по восстановлению md5 уже есть.

Автор: novice

novice — Mon, 02 Mar 2009 10:24:29 +0000

Да, я как раз имел в виду то, что сервис по извлечению возможной комбинации не поможет, если применять соль. Все правильно

Автор: Lander

Lander — Mon, 02 Mar 2009 09:15:38 +0000

Написано всё верно. Не подкопаешься.
Единственное что мне не понятно – это по поводу сервиса с md5 хешами паролей. Соль как раз и вводится, что бы подобные сервисы не работали. К тому же в базе порядка 1 млрд паролей что составляет лишь ничтожную долю всех возможных значений. Объём 2^128 значени хранить не способен никто. А вообще спасибо. Инетресно было почитать.