[Kristoffer G]

Binero vet kanske något som vi inte vet. Hade varit jätte intressant om någon representant från dem kunde delta i diskussionen.

[Wojt]

Citat:

Originally posted by Kjette@Jan 18 2008, 17:20

Samt att skicka ut lösenord per e-post är väl ganska vanligt, men man rekommenderar jo alltid kunden att byta sitt lösenord första gången man loggar in osv.

Skickas ut varje gång jag beställer en domän.

[nosnaj]

Citat:

Originally posted by jonny@Jan 18 2008, 14:35

Min poäng var väl mer om att systemet inte är tillräckligt säkert så går det att få fram salt och dekryptera ändå. Alltså att det inte är säkert bara för att det är krypterat; även om det givetvis ökar säkerheten.

Nu kan man ju inte dekryptera en hash eftersom den är envägsfunktion.
Saltet är inte ens hemligt utan försvårar en eventuell bruteforce-attack. Man ska aldrig lita på security by obscurity.

[wizzo]

Citat:

Ursprungligen postat av nosnaj

Citat:

Nu kan man ju inte dekryptera en hash eftersom den är envägsfunktion.
Saltet är inte ens hemligt utan försvårar en eventuell bruteforce-attack. Man ska aldrig lita på security by obscurity.

Nu hänger jag inte med längre. Har ofta hört att md5 är en envägsfunktions-hash som man inte kan dekryptera.
Många Linux iso filer man laddar ner använder såna hashar för att kontrollera att ingen har mixtrat med filen.
Men om man kollar på alla dem senaste communities-hacken med allt snack om rainbow tables och
http://www.md5decrypter.com/
Då verkar det som att md5 är helt värdelös år 2008. Har jag blandat ihop saker och ting?

[Oskar G]

Citat:

Ursprungligen postat av wizzo

Citat:

Nu hänger jag inte med längre. Har ofta hört att md5 är en envägsfunktions-hash som man inte kan dekryptera.
Många Linux iso filer man laddar ner använder såna hashar för att kontrollera att ingen har mixtrat med filen.
Men om man kollar på alla dem senaste communities-hacken med allt snack om rainbow tables och
http://www.md5decrypter.com/
Då verkar det som att md5 är helt värdelös år 2008. Har jag blandat ihop saker och ting?

Md5 har varit ganska värdelöst ganska länge som jag har förståt det. Däremot så ser jag samma poäng som htiawe, att man köper tid om man åtminstone har någon form av kryptering istället för ingen alls.

[nosnaj]

För att göra en regnbågstabell till md5 tar det väl i runda slängar 1*10^24 år.
Sen ska du lagra cirka 5*10^30 GB data också vilket kan vara ett problem om du inte sitter på en armada datorer.

Stor reservation för räknefel.

[tartareandesire]

http://www.md5decrypter.com/ innehåller lite drygt en halv miljon hash-värden och det är ju en ganska liten del av alla möjliga...

[wizzo]

ic, så situationen är sådan. Då kan man gott och väl köpa lite tid till sig själv med md5 på småsaker

[SimonP]

MD5 tillsammans med salt funkar ok som lösenordshash, SHA1, RIPE-160 eller SHA256 etc. är att föredra om man får välja.

Som signaturalgoritm på e-mail och filer ska man inte använda MD5, eftersom det finns kollisionsattacker, dvs att det går att förfalska dokument som ger samma hashsumma som orginal dokumentet.

[FredrikMH]

Eller så MD5:ar man två gånger så minskar sannolikheten att lösenordet är arkiverat. Sen kan ju en och samma MD5-värde iof representera flera olika lösenord.