Citat:
Originally posted by gsoc@Mar 11 2008, 18:20
Att sedan skriva ut hur man gör är ju inte så bra om man skall vara petig...
|
Fel. varje form av säkerhetslösning (liksom kryptering) som bygger på att algoritmen är hemlig är i sig dålig eftersom algoritmen förr eller senare kommer bli känd. Om inte lösningen är
säker nog trots att algoritmen är känd så är det en dålig lösning. Det är sunt att publicera sin algoritm eftersom man då får den validerad ur ett säkerhetsperspektiv.
Det gäller algoritmen. Om man sedan har en privat nyckel (tänk RSA) eller ett hemligt salt så må det vara hemligt, givet att man tror sig kunna hålla den informationen hemlig. Men algoritmen som används bör vara öppen.
edit: Och jag skulle kanske ha en åsikt om lösningen. Att hasha lösenordet med SHA och lite salt är ävl at anse som säkert i dagsläget. MD5 är generellt sett det inte eftersom det finns en del som lyckats återskapa MD5-värden genom att bara se på resultatet.