[Linuus]

Citat:

Ursprungligen postat av Nerix

Ja, men varför. De va de som va frågan. Varför använda te.x SHA1 över MD5 när de kommer till att hasha lösenord.

Off-topic som sagt, men ett problem med t.ex. MD5 är ju att den är _för_ "snabb". Det går att generera en hash på mycket kort tid.

Vill man inte att det ska vara snabbt?
Nej, då blir det ju betydligt enklare att knäcka.

Använd t.ex. Bcrypt istället. Den är långsam och betydligt säkrare än t.ex. MD5.

Här finns lite mer info (lite gammal kanske...)
http://codahale.com/how-to-safely-store-a-password/

[linusoleander]

Citat:

Ursprungligen postat av Linuus

Off-topic som sagt, men ett problem med t.ex. MD5 är ju att den är _för_ "snabb". Det går att generera en hash på mycket kort tid.

Vill man inte att det ska vara snabbt?
Nej, då blir det ju betydligt enklare att knäcka.

Använd t.ex. Bcrypt istället. Den är långsam och betydligt säkrare än t.ex. MD5.

Här finns lite mer info (lite gammal kanske...)
http://codahale.com/how-to-safely-store-a-password/

Då ska vi se hur långt tid de skulle ta å bruteforce:a ett saltat md5-lösenord.

Givet:
Lösenordet: a-öA-Ö0-9, 8 tecken.
Salt: a-öA-Ö0-9, 32 tecken.

En snabb GPU idag klarar att testa 5.6*10^8 lösenord / sekund.

Kod:

((2 * 28 + 10)^8*(2 * 28 + 10)^32) / (5600 * 10^6)

Vilket ge c.a 10^55 år.

bcrypt är c.a 300 gånger långsammare än md5, vilket gör att samma sak skulle ta 10^58 år.

Kort och gott; sätt saker och ting i perspektiv.

Din uppgift är nu att räkna ut om hur många år lösenordet går att knäcka på under ett år enligt Moores lag.