Криптовальщики... А объясните мне, чем плох дабл md5 с солью по вкусу? Даже если ][ будет знать соль, то брутить 32 - х символьный хэш он будет ооочень долго... а потом еще раз... бред DDDD это имело бы место толкьо в случае если бы сам пароль был бы в виде мд5 хэша :d
Это верно только в случае если логин скрипт окажется самой тяжелой частью системы. Если у меня скрипт отправки сообщения исполняется скажем 3 секунды, а логин 0.5 секунды, то катастрофы от увеличения времени исполнения последнего до 1-2 секунд не произойдет. Возможно, надо будет почитать про MD5(UNIX) подробней. Существенных проблем с коллизиями там нет. А никто не будет брутить 32х символьный хеш. Читайте выше - тот-же PasswordPro поддерживает произвольные хэш-модули, т.е. брутить будут сразу md5(md5($pass).$salt) а не последовательно. Скорость брута по сравнению с обычным md5 будет отличаться незначительно
Чем больше данных, шифруется тем больше возможность колизий, но тут есть свои подводные камни, для мд5 уже давно есть много софта для генерации коллизий, ну там надо знать исходный вариант до шифрования, иначе это превратиться опять же в банальный брут форс. Проблеммы там такие же как и md5, за небольшой разницой в шифре.
Вообще-то, md5(UNIX), насколько мне известно, вовсе не хеширует ничего тысячу раз. Этот алгоритм только добавляет три рандомных цифры к строке и хеширует один раз. Просто для проверки хеша приходится перебрать 1000 вариантов. Это происходит за доли секунды, зато если пытаться брутить, возникают проблемы. По-моему, способ вполне имеет право на существование.
бля md5 и фсе! А вообще лучше позаботьтесь о защите ваших скриптов, чтобы не думать о криптовании пасса... А вообще хватит и половины от md5 - 16 символов =\
ребят вы чего? тема помоему называется не "А много ли существует методов хеширования?"...так зачем писать типо да таких методов навалом, тема бред, кг\ам и подобное? Если много то выкладывайте, ещё раз повторюсь, мне интересно стало, насколько можно составить сложную функцию хеширования. И это не только из-за движка, просто интересно.....более того исходный код никто не увидит, т.к. не паблик)) пока из всего вышеперечисленного могу отдать должное функции Macro, действительно интересно и необычно
Хм... Если не знать исходников, то принцип md5(md5($pass).$salt) будет намного дадежнее простого md5($pass.$salt). А вот если имеются исходники, то под любую криптографию (кроме той, где соль выводится умным рандомом, который заносится куданить в бд, являясь индивидуальной солью для определенного пароля) можно сделать свой брутфорс. Хотя если хэш делается 0.5 - 1 секунду, то брут под него делать уже бессмысленно.
предлагаю сделать небрутабельный алго, чтобы при установке движка админ выбирал комбинацию алгоритмов и солей.
Онотолей, тогда смысл изобретать велосипед? при таком раскладе и md5(md5($pass).$salt) будет довольно таки секурным, т.к. хенкер незнает алгоритма шифрования, т.е. он врядли догадается что там таким образом пароль хешируется
А что мешает хацкеру проверить популярные способы хеширования ? Если движок поддерживает регистрации - регистрируем аккаунт, пароль нам извествен, в базе видим хеш и скорее всего салт. Затем тупо проверяем перебором все "стандартные" методы
дык я не говорю про популярные способы, я просто пример привел, ну сделай ты sha1(md5(pass)) я говорю впринципе... нет смысла "изобретния", т.к. вариантов куча... еще раз говорю, не стоит путать яичницу с Божьим даром
двойной,тройной хоть сто тысячный md5() ничего вам не даст,т.к можно всегда будет пробрутить пасс while i<1000000 do begin if '5a4948a894009488a8a9048adbd'=md5(md5(i)) then MessageBox(0,'Лох!',0,0); end;
Вы в этом примере рассчитываете на коллизию? 0_о. Тогда искренне желаю вам удачи. (док не забудьте добавить ноликов к условию ; ) ) А стотысячный md5 будет генерироваться довольно долго, поэтому брут для него будет делать только "брут-извращенец".