Такой вот вопрос. Как лучше всего шифровать пароль через md5, чтобы его было труднее всего (читай unreal) сбрутить? Конечно понятно, что можно просто 10 раз хэшировать пароль, тогда хакер просто заипется его подбирать, но ведь наверняка есть более рациональные способы? Т.е. совмещение надежности + минимального кол-ва шифрований. Например, насколько безопасен будет такой хэш: md5(md5(realpassword+salt2)+salt1) ? Спрашиваю у тех кто набил руку на подборе хэшей, т.к. сам этим никогда не занимался, и не в курсе сколкьо времени уйдет на какой хэш. Спасибо.
Достаточно долго...а если пароль будет не вида 123123, а что-то типа Xz55Hgdf, то вовсе практически невозможно...потому как мало найдется народу, который будет брутить хэш скажем так месяц целый... Из чего вывод - ставим сложные пароли
пароли типа Xz55Hgdf брутятса проблематично но всёже это реально ... вот усли пасс 123@!@@160йцКЕНWvErtY)? вот это да практически не реально ...
Если на то дело пошло, то реально абсолютно любой пароль сбрутить...любой... Просто ни у кого нет столько: 1) Времени 2) Желания 3) Возможностей имхо...
Koller угу, вот именно этого я и добиваюсь. Сбрутить действительно можно любой пароль, но надо сделать так,чтобы брутить его было не выгодно. Ну заставить всех использовать такие пароли, даже админа, весьма проблематично (будешь долго материться если тебя вылогинет), ля этого, имхо, проще salt использовать - как добавление к стандартному паролю.
А не легче сделать так, чтобы пароли ставились автоматически по определенному шаблону... А потом запретить смену пароля, хотя признаюсь честно никогда не видел на форумах, чтоб нельзя было сменить пароль...но ведь тоже вариант, согласись...) А на счет md5(md5(realpassword+salt2)+salt1) - да, будет безопасен...имхо...
имхо все-таки проще сделать пасс нормальный, тогда хватит и одного хэширования но тем не менее можно так попробовать Code: md5(md5("password".md5(salt1)).md5(salt2)) и подобные вариации
Хммм... Любой хеш можно сбрутить... Ведь както же должен он сравниваться с пассом? Пральна? Значит по методу их сравнения можно и сбрутить... Естесвенно если опенсорц =)
все современный хеш-алго опенсорс, ина4е зная принципы выбора и использования криптоалго не поступают а нас4ет брута - да, все можно сбрутить, разница лишь в том, 4то разные хеш-алго отрабатаут (стало быть и брутятся) за разныое коли4ество тактов проца. отсюда и разница в годы-тыся4и лет при бруте, например, мд5 и sha-256
почему md5? потому что он встроен в PHP и *** знает еще почему. Наверное потому что других встроенных в пхп не знаю sha-256 встроен?
to Abra я всеволиш предложил реальный выход из ситуации без лишнева гемора с дополнительным шифрованием ... имхо хароший админ просто обязан уметь держать в уме пару тройку таких пасов ... неговоря уж о том что их можно просто записать на любой носитель или листок бумаги =)))
в продолжение темы хочу заметить ... хотя похоже уже дискутирую сам с собой : Глубоко уважаемый мной Algol бесспорный аторитет в подобных вопросах заметил *что взласывать пароль простова юзера практически не имеет смысла * от себя дополню если этот юзверь не имеет близких отношений с кемто из привилегированной группы администраторов и модераторов тогда с помощью соц инженерии и взлома ево пароля можно добитса определёных привилегий и как бы ты заковыристо не шифровал пороли типа : саша маша дай бог секс и матрица они будут бесщадно взломаны даже из хулиганских побуждений
