[rhdf]

Citat:

Ursprungligen postat av SimonP

...härstammar från ett starkt lösenord.

Där har vi problemet. kollar man på de dumpar som dykt upp senaste tiden så är det här med starka lösenord inte användarnas starka(!) sida.. Rätt vanligt med kalle:hej123, johanna:annahoj. Det räcker alltså inte med att bara kryptera sina användares lösenord, man måste dessutom "tvinga" dem att välja ett starkt lösenord .

[importsprit]

Citat:

Ursprungligen postat av SimonP

Jag hoppas du skojar(?), MD5 är långt ifrån klartext, idagsläget går det inte att knäcka en MD5-summa som härstammar från ett starkt lösenord.

De flesta användare använder inte ett starkt lösenord, därför måste man hjälpa till lite.

[SimonP]

Citat:

Ursprungligen postat av importsprit

De flesta användare använder inte ett starkt lösenord, därför måste man hjälpa till lite.

Ja men det har inget med MD5 att göra, det går även att minimera med en striktare lösenordspolicy. Lösenord som hej123 knäcks blixtsnabbt även om man kört med SHA512. Det krävs en riktig KDF om man verkligen ska försvåra dictionary/bruteforce attacker för de enklare lösenorden.

[Xamda]

Att tillåta alltför enkla lösenord är inte bra och oftast ett mycket större hot än okrypterade databaser skulle jag tro...

Tramset om att MD5 är osäkert får en att baxna, det är inget fel på MD5, det är bara fel på hur man implementerar det (tvinga fram stor och liten bokstav, en siffra och ett specialtecken och 8 tecken i längd minimum så får vi se om du lyckas knäcka det, skulle inte tro det...).

[DudeRille]

Citat:

Ursprungligen postat av Xamda

Att tillåta alltför enkla lösenord är inte bra och oftast ett mycket större hot än okrypterade databaser skulle jag tro...

Tramset om att MD5 är osäkert får en att baxna, det är inget fel på MD5, det är bara fel på hur man implementerar det (tvinga fram stor och liten bokstav, en siffra och ett specialtecken och 8 tecken i längd minimum så får vi se om du lyckas knäcka det, skulle inte tro det...).

Det går, handlar bara om tid.

[razor]

Egentligen borde man väl börja med online-id som standard för allt! edit.. bank id heter det kanske

[Eyeon Media]

Till de som säger att enbart MD5 är säkert:

Googla:
Cain & Abel
MD5 rainbow table
MD5 database

Man undrar hur många utvecklare som sitter på sina md5 lösenord på 8 tecken o tror de på något sätt är säkra. Ja, du är säker mot inkompetenta kids, har du ett bra byggt system och nån tar sig in så långt att de får tag på dina md5 värden är chansen rätt stor att de faktiskt tillhör nån av de mer seriösa crackergrupperna som har tillgång till nätverk med flera tusen gflops och tabeller på flera tusen terrabyte. Tror ni era sketna md5 krypterade lösenord klarar sig länge då?
Argumenteringen att man har täppt ett säkerhetshål till 99% är rent idiotisk, det är den sista 1% som är viktigt och den som många blir körda på.
Det finns bara 2 möjligheter när det gäller säkerhet: säkert och osäkert, punkt. Vad kommer ni säga när en av dina kunder får sin databas tömd och de får tag på lösenordet fast det var MD5'at? Ska ni hänvisa de till den här tråden och säga "men folk sa att ren MD5 var säkert, det är inte mitt fel", snälla, ert tänk är inte bättre än geniet som i början postade att det var hackerns fel.

[SimonP]

Citat:

Ursprungligen postat av Eyeon Media

Till de som säger att enbart MD5 är säkert:

Googla:
Cain & Abel
MD5 rainbow table
MD5 database

Man undrar hur många utvecklare som sitter på sina md5 lösenord på 8 tecken o tror de på något sätt är säkra. Ja, du är säker mot inkompetenta kids, har du ett bra byggt system och nån tar sig in så långt att de får tag på dina md5 värden är chansen rätt stor att de faktiskt tillhör nån av de mer seriösa crackergrupperna som har tillgång till nätverk med flera tusen gflops och tabeller på flera tusen terrabyte. Tror ni era sketna md5 krypterade lösenord klarar sig länge då?
Argumenteringen att man har täppt ett säkerhetshål till 99% är rent idiotisk, det är den sista 1% som är viktigt och den som många blir körda på.
Det finns bara 2 möjligheter när det gäller säkerhet: säkert och osäkert, punkt. Vad kommer ni säga när en av dina kunder får sin databas tömd och de får tag på lösenordet fast det var MD5'at? Ska ni hänvisa de till den här tråden och säga "men folk sa att ren MD5 var säkert, det är inte mitt fel", snälla, ert tänk är inte bättre än geniet som i början postade att det var hackerns fel.

Ja du, attityd har du så det blir över, men du har uppenbarligen inte så bra koll.

Du aldrig hört talas om salt heller?
Salt gör att RT:s blir värdelösa. RT:s är ett fenomen som börjar dö ut, just pga salt.

Att någon hackargrupp sitter på någon RT som består av flera tusen TB är bara komiskt...kan du ge en enda referens på detta?

Sen blir det ännu mera lustigt när de verktyg som du vill att man ska Googla är de som är sämst Skall man knäcka hashar i dagsläget är det GPU programvaror som gäller, t.ex:
-oclHashCat
-IGHashGPU
-Extreme GPU Bruteforcer

Återigen, MD5 är tillräckligt säkert om man har ett starkt lösenord (+salt i databasen naturligtvis). Exempel: MD5:a av ett lösenord bestående av 12 tecken med teckenuppsättning a-ö,A-Ö,0-9 ger 58^12, detta är inget som man ens med GPU bruteforcar inom rimlig tid.

Vill man inte kräva en så hård lösenordspolicy av sina användare kan man stärka upp lösenordshanteringen på många olika sätt, men det är inte MD5:an som är största svagheten det är lösenordet.

SHA1 är inte speciellt mkt bättre än MD5 (i lösenordsystem).

[pelmered]

En av de sakerna jag direkt tänker på när webbmasters har lösenorden helt okrypterat är att webbmastern då utan problem själv kan se alla lösenord klartext vilket jag tycker är ett problem.
Det är inget man ska kunna se som administratör över en sida tycker jag.

Ang. md5 så är det ju i PHP(och säkert de flesta språk) precis lika enkelt att kryptera med sha1. Så länge man har någon vettig salt någon variant med dubbelkryptering eller likande så är man ju ganska säker mot rainbow-, dictionary-attacker och likande så länge de inte har saltet och hur man ska sätta ihop det.
Hur gömmer man undan saltet på bästa sätt föresten?

[Xamda]

Alltså Eyeon, det är väl lovvärt att propagera för säkerhet, men det får ett löjets skimmer över sig när man läser dina argument.

Det finns såvitt jag vet inte ett enda exempel på någon som knäckt MD5 om lösenordet varit vettigt (och ja, 12 är klart mycket bättre än 8 tecken, men blandar man specialtecken, siffror och stora och små bokstöver får man miljarders miljarder med kombiantioner och hur gärna du än vill så är det inte möjligt att knäcka det i dagsläget). Du får gärna motbevisa mig.

Jag tror mina MD5-lösenord klarar sig utmärkt, till och med utan salt...

För övrigt suger din attityd och ja, geniet har helt rätt, det ÄR hackerns fel och vi borde verkligen ha betydligt strängare straff på dataintrång (typ 10 år, motsvarande grov stöld, för allvarligare fall, det skulle ge helt andra befogenheter ooch möjligheter att agera).