Z pornowebu Xhamster unikly přihlašovací údaje, útočníci jich získali 380 tisíc

Novy zpusob, jak obejit blokatory advertismentu ctenaru 😄

Názor byl 1× upraven, naposled 02. 12. 2016 07:11

plaintext rulez

To není o md5.

to JE o MD5.Očekávat, že systém je plně bezpečný, jak před útokem zvenčí, tak zevnitř, je zcela amatérské a naivní.
MD5 je dnes nedostatečné zabezpečení pro účely hashování hesel.

MD5 je nevratná šifra, i kdybyste se na hlavu postavil.Je úplně jedno, jestli heslo šifrujete sha512 nebo md5. U md5 je jen vyšší riziko kolizí, což pokud máte debilní a neosolené heslo, je úplně šumafuk.

- Kerckhoffův princip je doufám jasný.
- Salt je z hlediska kompromitovaného systému téměř bezcenný (je útočníkovi rovněž znám), jen zbrzdí hledání (nelze použít slovník), ale nezabrání mu najít efektivně výsledek.
- MD5 je znám i pro svou designovou nedokonalost (kolize).
- MD5 má velmi nízko položený birthday paradox attack limit.Resumé: i nedebilní zasaltované heslo v MD5 hashi už dnes neobstojí.P.S.: riziko kolize mezi MD5 a SHA2 je diametrálně odlišné.

Ale to ja vim. Prectete si znovu co jsem napsal. Vetsina lidi pouziva casta jednoducha hesla a je uplne jedno,jakou sifru pouzijete.

Přečetl jsem. Stále tvrdím, že dnes je MD5 překonaný (plně zlomený) a jako autentikační mechanismus je naprosto nevhodné jej používat (ať se solí či bez).Jen upřesním:
MD5 byl samozřejmě navržen jako nevratný hashovací algoritmus, ale s ohledem na odhalené zranitelnosti a zároveň pokrok ve výpočetním výkonu toto již neplatí.

jinak souhlasím, že topten hesel začínající na "password", "123456" apod. samozřejmě tvoří další level tohoto spektáklu.