Citat:
|
Ursprungligen postat av wizzo
Citat:
|
Ursprungligen postat av Fredrik S
Tillägg till mitt tidigare inlägg: Det är bra om du saltar med en sträng i stil med e33DcÄfas#x70gr@m% , d.v.s. ganska lång och med många teckentyper.
Det ger ett ökat skydd mot bruteforce av hashen i fall användarna använder korta/svaga lösenord.
Om någon kommer över databasen OCH källkoden så har du såklart nada hjälp av att du saltat lösenorden eftersom dom då ser vad saltet består av.
|
Jag läste för nåt år sen då PirateBay killarna blev fråntagna medlemsdatabasen vid en razzia. Då hade en av killarna sagt i tidningen att allting var lugnt att dem hade en jättesäker kryptering. Är deras fall samma sak som när hamsterpaj blev hackat och man kunde köra md5 dekryptering på dem? Bara det att dem körde en annan sorts krypterings algoritm.
Om ja hade dem enbart använt sig av SHA1+salt för att skydda sin databas. Eller körde dem nånting egensnickrat som nån här har föreslagit?
|
Att använda egensnickrat så som vissa beskriver det, behöver inte alls vara osäkert och lätt att bruteforca. Det gäller dock att vet vad man gör, har tid att göra det och testar funktionen hårt.
Exempel på samma ord
MD5: b7bc47bd82143c3c21943e55d4eae087
Sha1: c3d303de5c0ddf84bc5f1f6f4c758ba47722f746
Min: 50 tecken. Bokstäver, siffror, specialtecken. Dessutom, om man omvandlar samma lösenord två gånger blir det inte samma sträng. Har inte lyckats få en dublett på samma ord på 200 000 000 genererade hashar.
Men hur kan man veta att det är rätt lösenord när man loggar in frågar ni
Det ni, det säger jag inte
Den används inte externt (internet) dock, så man kan aldrig säga att det är supersäkert... allt går att hacka sig igenom.