[Eyeon Media]

Citat:

Ursprungligen postat av sokmotorn

statiskt salt och lite skoj med kryperingen brukar räcka, man kan ju köra tex
md5($salt.$password.md5($password))

om inte hackaren har tillgång till koden så är han duktig om han lyckas knäcka det där.

Absolut! Finns många sätt att nå en låg säkerhetsnivå som håller för de flesta "script-kids". Det finns många som däremot kör bara md5, vilket är samma som klartext(och uppenbarligen så kör vissa helt enkelt klartext :P).

[SimonP]

Citat:

Ursprungligen postat av Eyeon Media

Det finns många som däremot kör bara md5, vilket är samma som klartext(och uppenbarligen så kör vissa helt enkelt klartext :P).

Jag hoppas du skojar(?), MD5 är långt ifrån klartext, idagsläget går det inte att knäcka en MD5-summa som härstammar från ett starkt lösenord.

[rhdf]

Citat:

Ursprungligen postat av SimonP

...härstammar från ett starkt lösenord.

Där har vi problemet. kollar man på de dumpar som dykt upp senaste tiden så är det här med starka lösenord inte användarnas starka(!) sida.. Rätt vanligt med kalle:hej123, johanna:annahoj. Det räcker alltså inte med att bara kryptera sina användares lösenord, man måste dessutom "tvinga" dem att välja ett starkt lösenord .

[importsprit]

Citat:

Ursprungligen postat av SimonP

Jag hoppas du skojar(?), MD5 är långt ifrån klartext, idagsläget går det inte att knäcka en MD5-summa som härstammar från ett starkt lösenord.

De flesta användare använder inte ett starkt lösenord, därför måste man hjälpa till lite.

[SimonP]

Citat:

Ursprungligen postat av importsprit

De flesta användare använder inte ett starkt lösenord, därför måste man hjälpa till lite.

Ja men det har inget med MD5 att göra, det går även att minimera med en striktare lösenordspolicy. Lösenord som hej123 knäcks blixtsnabbt även om man kört med SHA512. Det krävs en riktig KDF om man verkligen ska försvåra dictionary/bruteforce attacker för de enklare lösenorden.