Guran gör ett par helt korrekta iaktagelser.
MD5 har ju i denna diskussion enbart varit ett exempel på hashning.
Och eftersom sannolikheten är störst att ett missbruk sker av den som enkalt har tillgång till DB och övriga script på sajten måste den rimliga slutsatsen bli:
1) Klartext är dumt.
2) Kryptering som kan dekrypteras (dvs inte hashning) är också dumt då nycklarna måste finnas tillgängliga på inloggningsservern och den som komemr åt DBn kommer sannolikt även åt nyklarna och kan då dekryptera alla lösenord.
3) Hashning är bästa alternativet eftersom ingen (utom att på mer eller mindre finurliga sätt gissa lösenorden) på ett annat sätt än att prova alla möjliga kombinationer kan komma fram till vad lösenorden är.
Dessa tre slutsatser är precis vad jag menade ursprungligen även om vägen hit varit lång och intressant. och med vissa omvägar...
Edit:
Nu han ju Guran göra ett inlägg till...
Citat:
|
Om ett salt är används så kommer inte det att fungera eftersom jag måste känna till saltet för att kunna prova mig fram.
|
Det kommer visst fungera eftersom jag kommer testa all möjliga kombinationer utan att ta hänsyn till saltet. När jag knäckt två hashkoder med samma salt kommer jag kunna utläsa saltet själv.
Exempel:
nisse hashas med saltet gurra. Även ola hashas med saltet gurra. När jag testat mig fram med alla möjliga kombinationer så kommer jag ha "nissegurra" och "olagurra" och kan då dra slutsatsen att båda hashats med saltet "gurra".
Saltet gör det alltså inte svårare att med brute force "knäcka" koden. Däremot gör saltet det svårare att gissa lösenord (eller leta med en stor i förväg uträknad tabell med hashkoder). Detta gäller ju självklart bara om saltet är okänt och enligt tidigare; om en person kan komma över ev. kryponyklar kan han komma över saltet...
Detta betyder inte att man inte skall använda salt eftersom vi ju även kommit fram till att användare med dåliga (=lätt gissade) lösenord skyddas lite extra (med betoning på lite för är lösenorden lättgissade så kan jag ju testa utan att ens veta hashen).