Citat:
Originally posted by stakes@Oct 25 2007, 22:15
Den är "bättre" än md5 i den mening att md5 är 128bit medans SHA-1 är 160bit vilket gör den något "svårare" att köra ett kollisionstest (s.k bruteforce) på. Vill man vara riktigt petig så finns det SHA-256 php bibliotek tillgänglig gratis under GPL, och om du inte tycker det är säkert nog, så well.. då kan du börja med att koppla ut datorn ifrån internet.
Edit: Men som överstående skribent skriver; ett md5 med lite salt och peppar räcker långt för de flesta.
Edit 2: För de som är intresserade av SHA-256 i php ->http://code.tatzu.net/sha256/
|
Inte för att vara sån. Men bruteforce är väl inte samma sak som kollisionsattack (eller vad det egentligen heter)? Såvitt jag har förstått det så utnyttjar man i det senare fallet att två olika värden genererar samma hashkod. Detta då det inte finns oändligt antal kombinationer, vilket således bidrar till att flera värden har samma hashvärde. Det får också som konsekvens att det framtagna värdet inte alltid behöver vara samma som lösenordet, utan bara att båda värderna har samma hashkod.
På bruteforce däremot så går man igenom alla möjliga olika kombinationer tills man hittar rätt. Det får som följd att det inte tar mer försök för att få fram värdet genom bruteforce om man gör det i stigande ordning, oavsett hur många bitar hashsträngen är på. Även om tiden kanske varierar.
Rätta mig gärna om jag har fel!