29-07-2010, 16:51
(29-07-2010, 16:40)Pedro84 napisał(a): Po pierwsze, przeczytaj czym są tęczowe tablice i do czego służą, bo wydaje mi się, że lekko się pomyliłeś.
Po drugie, złamać krótkie i proste hasło zahashowane nawet sha1(md5($string)) też nie jest trudno. Są bazy z miliardami rekordów rekordów (samo md5(), sha1(), pomixowane). Pomińmy już tutaj metodę b-f, bo w takim przypadku żadne sztuczki kryptograficzne nie przyniosą efektu.
Reasumując:
1. Samo hashowanie nic nie da (nie ważne czy zjedziesz je 100 razy)
2. Używać powinno się crypt http://php.net/manual/en/function.crypt.php
3. Jeśli już ktoś używa md5() bądź sha1 to koniecznie musi użyć sól (od jej stopnia skomplikowania zależy bezpieczeństwo hashowanego hasła)
BTW. Polecam Ci książkę pt. Applied Cryptography Bruce'a Schneier'a (niestety, nie wiem czy wyadana w naszym języku), a także bloga Bruce'a.
Spoko spoko - nie napisałem, że skrypt będzie nie do złamania, tylko że będzie mimo wszystko minimalnie bardziej bezpieczny (więc Twoje zdanie "jaki to ma sens. Żaden." z tego punktu widzenia jest błędne), bo tęczowe tablice są chyba mimo wszystko nieco bardziej dostępne (w sensie gotowców, bo kto co sobie stworzy to już jego sprawa) w wersji gołej md5 i gołej sha1, a nie zmiksowanej. Przynajmniej ostatnio jak zaglądałem do tego zagadnienia tak było. Oczywiście powinien użyć salta i kilku innych technik, ale dopóki stawia swoje pierwsze kroki, to chyba można nieco odpuścić w tym względzie? Na solenie przyjdzie czas - po pierwszym włamaniu :D
A tęczowa tablica jest kompromisem między rozmiarem tablicy zawierającej wszystkie powiązania hash -> plain, a czasem pracy procesora wymaganej do metody wygenerowania danego hash-a za pomocą brute-force. To tak w skrócie i bez naukowego nalotu - coś się nie zgadza?
