Citat:
Originally posted by elitasson@Apr 26 2008, 07:29
Om de använder md5($pw . 'asd87asd9asdiuh213'); så bör väl det räcka?
Ofta hackkers knäcker den kombinationen, eller?
|
Om du hashat lösenordet med md5 så går det inte att reversa. Det man kan göra är att testa olika kombinationer (t.ex. ord från en databas) och hasha dem för att sedan jämföra med det hashade lösenordet. Om hemsidan skippade saltet och du hittade en kombination som ger samma hash så skulle du kunna logga in, men inte om saltet finns med (jag förutsätter att saltet är okänt för hackaren) Observera dock att md5 inte är en injektiv funktion så bara för att md5(x) = md5($pswd) så har du inte att x = $pswd. Om du då använder x på en annan hemsida som inte använder md5 (eller samma salt) lär du inte komma in.