Citat:
Ursprungligen postat av Eyeon Media
Ja, men nu pratade vi om enbart MD5 utan salter.
Det hittades kollisioner i MD5 för över 14 år sen, och på senaste år har man lyckats använda kollisioner för att knäcka även de mest avancerade MD5 lösenorden, speciellt de senaste 2 åren. Och redan innan år 2000 varnade RSA för att inte använda MD5.
Ja, jag står fast vid att ren MD5 inte är 100% säkert och att det inte var hackerns fel. Skulle samma hacker gått in i den databasen och lösenorden varit ordentligt skyddade så skulle denna skitstorm aldrig hänt. Man kan dra det här resonemengat(men om hackern aldrig skulle brytit sig in så skulle det inte heller hänt, etc,etc..) hur långt som helst, men faktum är att det har funnits hackers innan det här hände, och då har det blivit utvecklarens ansvar att göra det säkert.
Säkerhet är helt svartvitt.
|
Okej... I teorin stämmer mycket av det du säger om MD5. Dock är det dramatisk skillnad på att kunna påvisa möjliga kollisioner och att utifrån kollisionerna KNÄCKA (och med 100% säkerhet återge) lösenordet.
Det har, så vitt jag vet, aldrig skett.
Dessutom måste jag dra en parallell till "verkliga världen" när du säger att detta inte är hackerns fel...
Du anser alltså inte att det är inbrottstjuvens fel att han efter att ha brutit sig in kommer över t.ex. kortuppgifter och värdeföremål hemma hos någon? Det är alltså brottsoffrets fel? Brottsoffret skulle ha förvarat dessa i ett kassavalv så klart, men det förändrar väl inte skuldfrågan?
Det är så klart inte heller våldtäktsmannens fel, offret skulle ju så klart inte gått klädd som hon gjorde och definitivt inte varit ensam ute en mörk kväll... Man baxnar...
Visst, jämförelserna haltar lite, men principen måste ju ändå vara att hackerna skall hängas i första hand...