Koskien PHP-opasta:
lainaus:
Toinen lähestymistapa on hidastaa tiivisteen laskemista esimerkiksi soveltamalla tiivistefunktiota tuhat kertaa peräkkäin. Tällöin hyökkääjältä vie paljon enemmän aikaa käydä läpi mahdollisia salasanoja.
Eikös keskustelualueella käydä jatkuvasti keskustelua siitä, että tästä ei ole mitään hyötyä - päinvastoinkin?
Entä miksei oppaassa käsitellä kuin md5-funktiota, kun PHP:kään ei suosittele sitä?
Nykyään ei enään kannata käyttää pelkkää md5:ttä, koska se on murrettu ja taitavalta krakkerilta ei mene välttämättä edes varttia sen murtamiseen.
PHP:n manuaali suosittelee käyttämään blowfishiä. Itse diggaan salata ensin blowfishillä käyttäjäkohtaisella suolalla, ja sen jälkeen md5 funktiolla saadakseni vähemmän tilaa vievän ja hiukan ehkä hämäävänkin lopputuloksen.
Ja tietenkään käyttäjäkohtaista suolaa ei voi vain arpoa ja tallentaa tietokantaan, koska silloin tietokannan vienyt krakkeri näkee sen, vaan voit esimerkiksi tehdä algoritmin suolan muodostamiseen, ja tallentaa avaimen tietokantaan.
PHP 5.5 sisältää myös kunnolliset funktiot salasanojen käsittelyyn, kuten kerron koodivinkissäni. Niistä kannattaisi kertoa jo tässä oppaassa ainakin sitten, kun PHP 5.5 varsinaisesti julkaistaan.
Macro kirjoitti:
Eikös keskustelualueella käydä jatkuvasti keskustelua siitä, että [tiivistefunktion toistamisesta] ei ole mitään hyötyä - päinvastoinkin?
On siitä hyötyä tiivisteen murtamisen hidastamisessa. Keskustelussa on enemmänkin ollut aiheena, onko hyötyä nähdä paljon vaivaa salasanojen tiivisteiden takia, kun saman vaivan voisi käyttää tietomurtojen estämiseen, jolloin mitään ongelmaa ei pääsisi syntymäänkään. (Aihetta sivuava xkcd-sarjakuva.)
ljlassi kirjoitti:
Nykyään ei enään kannata käyttää pelkkää md5:ttä, koska se on murrettu ja taitavalta krakkerilta ei mene välttämättä edes varttia sen murtamiseen.
Ei pidä paikkaansa. Salasanan selvitys tiivisteestä ei ole minkään MD5-murron seurauksena yhtään nopeampaa kuin ennenkään. Todellisen vaaran aiheuttaa se, että tietokoneet (etenkin näytönohjaimet) ovat aiempaa tehokkaampia. Esimerkiksi 20-merkkisen salasanan selvitys on silti hyvin hankalaa, kuten tämä tehtävä todistaa.
Syy siihen, että MD5 on ”huono”, johtuu vain ja ainoastaan siitä, että sitä ei ole ikinä tarkoitettukaan salasanojen tiivisteisiin. Siksi lyhyet salasanat saa murrettua nopeasti kokeilemalla tai taulukosta arvoja hakemalla. Vika ei ole MD5:ssä vaan niissä ihmisissä, jotka ovat päättäneet käyttää sitä väärään asiaan.
Metabolix: http://md5encryption.com/
eetwo, niin mitä? Sivusto ilmoittaa, että siellä on yli 105300000 sanaa, joten enää noin 340282366920938463463374607431662911456 sanaa puuttuu. ”Sorry, this MD5 hash wasn't found in our database”
Aihe on jo aika vanha, joten et voi enää vastata siihen.