Еще парочка вопросов к умным людям

  1. Weblancer
  2. Форум фрилансеров
  3. Программирование
Николай Г.
601 сообщение
#15 лет назад
Цитата ("akkort"):
Md5 на cuda ломают. говорят, очень быстро получается. в видяхе 200 конвееров и каждый отдельно вычисляет.

Угу, читал на эту тему... Короче md5 для паролей(т.е. до 10 знаков) уже не может считаться действительно невскрываемым. Ну никак.
Evgenij L.
50 сообщений
#15 лет назад
Я не понимаю откуда зацикленность на md5. речь шла вроде о том, что в бд хранятся не пароли, а их хеши. выбор алгоритма хеширования-это уже дело автора софтины. важен сам принцип-не хранить пароли живьём. собственно, это и есть ответ на пункты 1-3 первого поста данной темы. вариант с rsa вполне себе неплох, на мой взляд. там, правда, не хеш, но тоже юзабельно.
Евгений О.
2989 сообщений
#15 лет назад
Защитить хэш (например md5) от простого перебора несложно. Перед хэшированием (а можно и после) обрабатываем тот же пароль по некоему алгоритму с использованием дополнительного ключа (например просто перемешиваем текст пароля и ключа). После это "вскрытие" хэша уже не даст пароль. Потребуется целенаправленно потрошить конкретную программу (сайт), чтобы выудить ключ и алгоритм обработки ключа. Правда на удаленных серверах это тоже не слишком эффективно.

p.s. а можно и еще проще - 100 раз md5(md5(....($s)).
Тимур Ч.
300 сообщений
#15 лет назад
Цитата ("elosoft"):
Защитить хэш (например md5) от простого перебора несложно. Перед хэшированием (а можно и после) обрабатываем тот же пароль по некоему алгоритму с использованием дополнительного ключа (например просто перемешиваем текст пароля и ключа). После это "вскрытие" хэша уже не даст пароль. Потребуется целенаправленно потрошить конкретную программу (сайт), чтобы выудить ключ и алгоритм обработки ключа. Правда на удаленных серверах это тоже не слишком эффективно.

Взломщик будет ломать пароль аналогично - реверсирует алгоритм (мы помним, что речь идет о движке на php) и настроит перебор на все возможные варианты исходных паролей, вводимых человеком. А для них есть множество известных атак - словари, раскладки, брут-форс по ограниченному набору символов.

Цитата ("elosoft"):
p.s. а можно и еще проще - 100 раз md5(md5(....($s)).

юниксовый как раз 1000 раз и делает.

До бесконечности искуственно замедлять вычисление пароля нельзя, такой сервер становится уязвим для ddos-атак.

Вообще чисто программным усложенением алгоритма шифрования пароля эта задача не решается. Надо защищать доступ к базе самих хэшей, а это целый комплекс организационно- программно- аппаратных решений.
Николай Г.
601 сообщение
#15 лет назад
Цитата ("akkort"):
Взломщик будет ломать пароль аналогично - реверсирует алгоритм (мы помним, что речь идет о движке на php) и настроит перебор на все возможные варианты исходных паролей, вводимых человеком. А для них есть множество известных атак - словари, раскладки, брут-форс по ограниченному набору символов.

Вот тут мне следует сильно обидеться... Стал бы я на PHP что-то писать, да еще и так серьезно подходить к вопросу безопасности...
Речь идет о компилируемом языке, D. Но проект будет опенсорсным, так что реверсировать алгоритм злоумышленник сможет...
Первая
12