Криптостойкость пароля в CMS

1. обеспечит

2. особо не скажется, т.к. сама авторизация будет проходить не часто

3. не целесообразно.

можно на хлипкую дверь повесить самый секретный замок, а эту дверь могут тупо выбить ударом ноги и просто не заметить ваш сложный замок.

смысл этого: что никто не будет заморачиваться с декриптом паролей(даже закриптованных штатными средствами), а просто поищет более слабые места или же ошибки в реализации скрипта.

sha1(rot13(md4($md5.$salt.$paper)))

1 md5(passwd, salt) или sha1(passwd, salt) будут рвать это как тузик грелку.

2 практически нет, если только не будут DDoS'ить авторизацией.

3 нет.

Спасибо поржал.

Вот, что что, а кому это нужно? Пароли брутом или фишенгом крадут, на кой им в базе ещё с этими md5 рыться.

К сожалению не только этим, очень хорошо пароли утекают и через sql-injectu, шеллы и прочую лабуду

да и "мего" криптование паролей спасет разве что от школьников )

если просто пароль "шифровать" только с помощью md5, то такой пароль возможно подобрать хотя бы с помощью Rainbow Tables...

По этому используют md5 + md5 + salt

этого вполне достаточно.

Кстати ТС почитайте: http://ru.wikipedia.org/wiki/Криптографическая_стойкость

md5 уже устойчивый. Что бы сбить с толку, можно просто убирать первые 2-3 символа.

правду говорят про радужные таблицы :)

поэтому неплохо бы хеш модифицировать необратимо - останется только брутить.

md5crypt

perl -le 'print crypt ($ARGV[0],$ARGV[1])' 'test' '$1$testtest$'

$1$testtest$SpO/FHIMn8I1fYKuRHVWW1

http://www.usenix.org/events/usenix99/provos/provos_html/node10.html