[SimonP]

Citat:

Ursprungligen postat av Eyeon Media

Till de som säger att enbart MD5 är säkert:

Googla:
Cain & Abel
MD5 rainbow table
MD5 database

Man undrar hur många utvecklare som sitter på sina md5 lösenord på 8 tecken o tror de på något sätt är säkra. Ja, du är säker mot inkompetenta kids, har du ett bra byggt system och nån tar sig in så långt att de får tag på dina md5 värden är chansen rätt stor att de faktiskt tillhör nån av de mer seriösa crackergrupperna som har tillgång till nätverk med flera tusen gflops och tabeller på flera tusen terrabyte. Tror ni era sketna md5 krypterade lösenord klarar sig länge då?
Argumenteringen att man har täppt ett säkerhetshål till 99% är rent idiotisk, det är den sista 1% som är viktigt och den som många blir körda på.
Det finns bara 2 möjligheter när det gäller säkerhet: säkert och osäkert, punkt. Vad kommer ni säga när en av dina kunder får sin databas tömd och de får tag på lösenordet fast det var MD5'at? Ska ni hänvisa de till den här tråden och säga "men folk sa att ren MD5 var säkert, det är inte mitt fel", snälla, ert tänk är inte bättre än geniet som i början postade att det var hackerns fel.

Ja du, attityd har du så det blir över, men du har uppenbarligen inte så bra koll.

Du aldrig hört talas om salt heller?
Salt gör att RT:s blir värdelösa. RT:s är ett fenomen som börjar dö ut, just pga salt.

Att någon hackargrupp sitter på någon RT som består av flera tusen TB är bara komiskt...kan du ge en enda referens på detta?

Sen blir det ännu mera lustigt när de verktyg som du vill att man ska Googla är de som är sämst Skall man knäcka hashar i dagsläget är det GPU programvaror som gäller, t.ex:
-oclHashCat
-IGHashGPU
-Extreme GPU Bruteforcer

Återigen, MD5 är tillräckligt säkert om man har ett starkt lösenord (+salt i databasen naturligtvis). Exempel: MD5:a av ett lösenord bestående av 12 tecken med teckenuppsättning a-ö,A-Ö,0-9 ger 58^12, detta är inget som man ens med GPU bruteforcar inom rimlig tid.

Vill man inte kräva en så hård lösenordspolicy av sina användare kan man stärka upp lösenordshanteringen på många olika sätt, men det är inte MD5:an som är största svagheten det är lösenordet.

SHA1 är inte speciellt mkt bättre än MD5 (i lösenordsystem).