Hey juste une simple question, car je suis essais de comprendre un peu plus sur les fonctions de hachage, je sais comment ils travaillent et ce qu'ils font, mais à quel point ils sont sécurisés? P>
J'apprécierais une réponse simple et non des liens car je ne les trouve jamais utiles. P>
3 Réponses :
Avec la technologie de nos jours, les deux peuvent être fissuré . Il y a aussi Dictionnaires de hachage qui aident à trouver ce qu'est un moyen de hash pour les chaînes courtes. P>
S'ils sont sécurisés ou non, dépend fortement de ce que vous voulez protéger. Si vous construisez un système bancaire en ligne, ils ne sont pas recommandés du tout (selon l'endroit où dans le système bancaire en ligne, ils sont utilisés). Si vous les implémentez uniquement pour le hachage de mot de passe de l'utilisateur en ligne, par exemple, cela dépend également de: est votre site Web d'aller de la peine, combien d'utilisateurs vous avez, etc. p>
Un conseil général, est d'étudier d'abord le niveau de sécurité que vous souhaitez réaliser dans votre scénario et de décider des technologies (dans ce cas de hachage) que vous utilisez. Il n'y a pas non plus de sécurité à 100%. En outre, n'investissez pas trop de temps en une seule question de sécurité et ignorez d'autres qui pourraient ne pas être aussi évidentes ou techniques (erreurs humaines, sécurité par obscurité, ingénierie humaine). P>
Vérifiez ceci: p>
mot de passe code> a le hachage MD5: 5f4dcc3b5aa765d61d8327deb882cf99 code> li>
- Go ici et posez le texte. Li>
ol>
L'exemple ci-dessus n'est que l'une des nombreuses (attaques de dictionnaire) moyen de les craquer. De plus, les articles Wikipedia de chaque algorithme de sécurité vous donnent une liste de vulnérabilités. P>
Voir aussi: p>
- est MD5 moins sécurisé que Sha et. Al. dans un sens pratique? li>
ul>
note latérale forte> p>
jamais strong> Les sites Web génèrent un hash pour un mot de passe réel que vous avez (au cas où vous en auriez besoin quelque part pour les tests ou autres raisons). Toujours FORT> Utilisez des mots de passe test ou générez des hachages sur votre machine locale. Les personnes qui construisent des bases de données de hachage (pirates pirates ou non), fournissent également des outils de hachage en ligne pour capturer les hachages. P>
Si vous trouvez cela utile, alors votez-le! Pas (seulement) pour ma réputation, mais pour d'autres personnes qui ont la même question.
Voici la comparaison entre MD5 et SHA1. Vous pouvez avoir une idée claire sur laquelle une meilleure est meilleure. P>
Pour la complétude, il existe déjà une "attaque réussie" sur SHA-1 dans ce que Google a trouvé deux messages différents générant le même hachage. MD5 est aussi insécurité que possible. Si vous le pouvez, n'utilisez pas non plus mais allez à SHA-512 ou à d'autres fonctions de hachage plus sécurisées.
Lorsque vous discutez de la sécurité hachage, vs force brute ne devrions-nous pas en prendre un peu plus en compte? P>
Tout d'abord, les données obscurcies MD5 sont stockées dans la zone de confiance ou non. En d'autres termes, faites-nous confiance à notre administrateur DB pour ne pas essayer de lire des mots de passe utilisateur à partir de la base de données et de la force brute inverse-les. Cela peut être approuvé ou agréé techniquement via certaines procédures de sécurité (DB Admin peut ne pas avoir accès à la table qui stocke les haubans de mot de passe, cela peut être accessible uniquement pour le responsable de la sécurité). P>
Un autre est une possibilité de connexion + mot de passe HASH paire de détournement de la transaction client ou client-serveur. S'il n'y a pas de cheval de Troie dans le client et que la communication entre le client et le serveur est sécurisée par TLS, la paire doit être sécurisée des attaques man-in-the-intermédiaires. p>
Que reste-t-il que l'attaquant est (en dehors de l'ingénierie sociale, XSS et Hosting Security Break) pour envoyer un nombre ultérieur de demandes générées au serveur de connexion et voir si on réussit. Cela peut aussi être géré: p>
Je crois que lorsque les règles ci-dessus sont implémentées, le hachage de MD5 est suffisamment sécurisé. En fait, il est également sécurisé comme mot de passe simple :) Pour résumer, si nous croyons que notre hachage de MD5 est sécurisé, nous pouvons simplement laisser des mots de passe découverts. La torsion est de nos jours, il n'y a aucune utilité de MD5 du tout (dans la matière du mot de passe obscurcissant). Ce que l'on devrait faire est de laisser clairement le stockage dans la zone de confiance ou d'utiliser un outil plus fort (comme SHA) lorsque la zone de confiance ne doit pas être gérée. Et à mon avis, la zone de confiance est toujours à risque de pause de sécurité serveur (service d'hébergement), donc peu importe tout simplement obscurcier les mots de passe avec SHA (ou mieux) :) Cela ne devrait pas être coûteux de hardérir le hasard lui-même et il apporte des avantages (réduit les risques) afin que mon conseil ne soit plus jamais à revoir cette discussion. P>
Toujours même avec Sha Hatch toutes les règles de sécurité parlées devraient être mises en œuvre. Surtout TLS qui empêche le compromis de la connexion de la connexion + du mot de passe (peu importe le mot de passe est envoyé uni ou haché avec MD5 ou SHA, il peut permettre une connexion réussie). Les tentatives de connexion doivent également être surveillées. Même si nous croyons que notre site est brut-force-la preuve, il est bon de savoir que quelqu'un essaie de casser la sécurité. p>