шифрование пароля - md5

Discussion in 'Уязвимости' started by Abra, 17 Nov 2006.

  1. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    Такой вот вопрос. Как лучше всего шифровать пароль через md5, чтобы его было труднее всего (читай unreal) сбрутить? Конечно понятно, что можно просто 10 раз хэшировать пароль, тогда хакер просто заипется его подбирать, но ведь наверняка есть более рациональные способы? Т.е. совмещение надежности + минимального кол-ва шифрований.
    Например, насколько безопасен будет такой хэш:
    md5(md5(realpassword+salt2)+salt1)
    ? Спрашиваю у тех кто набил руку на подборе хэшей, т.к. сам этим никогда не занимался, и не в курсе сколкьо времени уйдет на какой хэш.
    Спасибо.
     
  2. Koller

    Koller Elder - Старейшина

    Joined:
    25 Jul 2005
    Messages:
    402
    Likes Received:
    246
    Reputations:
    302
    Достаточно долго...а если пароль будет не вида 123123, а что-то типа Xz55Hgdf, то вовсе практически невозможно...потому как мало найдется народу, который будет брутить хэш скажем так месяц целый...
    Из чего вывод - ставим сложные пароли :)
     
  3. ground_zero

    ground_zero Elder - Старейшина

    Joined:
    11 Oct 2006
    Messages:
    398
    Likes Received:
    85
    Reputations:
    5
    пароли типа Xz55Hgdf брутятса проблематично но всёже это реально ... вот усли пасс 123@!@@160йцКЕНWvErtY)? вот это да практически не реально ...
     
  4. Koller

    Koller Elder - Старейшина

    Joined:
    25 Jul 2005
    Messages:
    402
    Likes Received:
    246
    Reputations:
    302
    Если на то дело пошло, то реально абсолютно любой пароль сбрутить...любой...
    Просто ни у кого нет столько:

    1) Времени
    2) Желания
    3) Возможностей

    имхо...
     
  5. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    Koller угу, вот именно этого я и добиваюсь. Сбрутить действительно можно любой пароль, но надо сделать так,чтобы брутить его было не выгодно.
    Ну заставить всех использовать такие пароли, даже админа, весьма проблематично (будешь долго материться если тебя вылогинет), ля этого, имхо, проще salt использовать - как добавление к стандартному паролю.
     
  6. Koller

    Koller Elder - Старейшина

    Joined:
    25 Jul 2005
    Messages:
    402
    Likes Received:
    246
    Reputations:
    302
    А не легче сделать так, чтобы пароли ставились автоматически по определенному шаблону...
    А потом запретить смену пароля, хотя признаюсь честно никогда не видел на форумах, чтоб нельзя было сменить пароль...но ведь тоже вариант, согласись...)

    А на счет md5(md5(realpassword+salt2)+salt1) - да, будет безопасен...имхо...
     
  7. KSURi

    KSURi tnega AOLPS

    Joined:
    6 Jun 2006
    Messages:
    458
    Likes Received:
    219
    Reputations:
    357
    имхо все-таки проще сделать пасс нормальный, тогда хватит и одного хэширования
    но тем не менее можно так попробовать
    Code:
    md5(md5("password".md5(salt1)).md5(salt2))
    и подобные вариации
     
  8. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    541
    Reputations:
    445
    по4ему именно мд5:
    есть и более стойкие хеш-алгоритмы...
     
  9. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    Хммм... Любой хеш можно сбрутить... Ведь както же должен он сравниваться с пассом? Пральна? Значит по методу их сравнения можно и сбрутить... Естесвенно если опенсорц =)
     
  10. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    541
    Reputations:
    445
    все современный хеш-алго опенсорс, ина4е зная принципы выбора и использования криптоалго не поступают

    а нас4ет брута - да, все можно сбрутить, разница лишь в том, 4то разные хеш-алго отрабатаут (стало быть и брутятся) за разныое коли4ество тактов проца. отсюда и разница в годы-тыся4и лет при бруте, например, мд5 и sha-256
     
    2 people like this.
  11. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    почему md5? потому что он встроен в PHP и *** знает еще почему. Наверное потому что других встроенных в пхп не знаю :D :D :D
    sha-256 встроен?
     
  12. ground_zero

    ground_zero Elder - Старейшина

    Joined:
    11 Oct 2006
    Messages:
    398
    Likes Received:
    85
    Reputations:
    5
    to Abra я всеволиш предложил реальный выход из ситуации без лишнева гемора с дополнительным шифрованием ... имхо хароший админ просто обязан уметь держать в уме пару тройку таких пасов ... неговоря уж о том что их можно просто записать на любой носитель или листок бумаги =)))
     
  13. ground_zero

    ground_zero Elder - Старейшина

    Joined:
    11 Oct 2006
    Messages:
    398
    Likes Received:
    85
    Reputations:
    5
    в продолжение темы хочу заметить ... хотя похоже уже дискутирую сам с собой :
    Глубоко уважаемый мной Algol бесспорный аторитет в подобных вопросах заметил *что взласывать пароль простова юзера практически не имеет смысла * от себя дополню если этот юзверь не имеет близких отношений с кемто из привилегированной группы администраторов и модераторов тогда с помощью соц инженерии и взлома ево пароля можно добитса определёных привилегий и как бы ты заковыристо не шифровал пороли типа : саша маша дай бог секс и матрица они будут бесщадно взломаны даже из хулиганских побуждений
     
    1 person likes this.
Loading...