- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
md5 является устаревшим потому что его можно перебирать со скорость 1 миллион вариаций в секунду на обычном компьютере, в то время как все остальные нормальные алгоритмы не подвергаются перебору.
md5 - 128битный аглоритм.
2^128 / 24 / 3600 / 365 / 1000 000 = 1x10^25 лет
Вы не к тем вещам привязываетесь. md5 - отличный алгоритм. Если всю защиту строить только исходя из надежности md5 | bcrypt | shaX | ... | etc - то вас будет ждать fail.
sitsalavat, на хабре уже был пост, там сам создатель md5 говорит, чтобы не использовали чистый md5 т.к. он уже не надёжный.
Поэтому надо выходить из реалити, если проект важный и хакер может навести шумиху, то лучше использовать сочетание разных систем, сделать микс пароля. А саму функцию как-то попытаться скрыть с глаз источников.
7608984c8df7919d68ff60596fdf578b - у вас сутки, чтобы найти коллизию к этому мд5.
100$ и коллизия ваша
sitsalavat, на хабре уже был пост, там сам создатель md5 говорит, чтобы не использовали чистый md5 т.к. он уже не надёжный.
Минус вам за дезинформацию.
Топик, оригинал
Вторая строка:
Вперед гуглить!
А по факту - проблема не в md5, а в том - что его хранят в качестве пароля. Храните вариации / ревизии пароля - и будет вам счастье. Запрещайте брутфорс - и не будет большой разницы.
Я выше уже привел хеш (без СОЛИ!) на root для 188.40.70.133 (мой сервер) - вперед, расшифровывать. Кто порутает - того сервер и будет до конца года? Ок?
---------- Добавлено 23.07.2012 в 16:45 ----------
100$ и коллизия ваша
Это и подчеркивает пустословность ваших слов.
Если у вас базу от сайта украли, как тут запретить брутить? Сами то хоть понимаете что говорите?
Если у вас базу от сайта украли, как тут запретить брутить? Сами то хоть понимаете что говорите?
Если украли базу - 1) нафига уже пароли подбирать, если и так вся инфа в руках, смотри что хочешь? 2) если всетаки нужно попасть в админку - при наличии дыры для слива базы, скорее всего будет и дыра для смены пароля или создания юзера с нужными полномочиями...
md5 пароля и соли для вебпроектов рулит и будет рулить. Врятли тут ктото защищает админку к панели управления ракетами и стутниками...
Если украли базу - 1) нафига уже пароли подбирать, если и так вся инфа в руках, смотри что хочешь? 2) если всетаки нужно попасть в админку - при наличии дыры для слива базы, скорее всего будет и дыра для смены пароля или создания юзера с нужными полномочиями...
md5 пароля и соли для вебпроектов рулит и будет рулить. Врятли тут ктото защищает админку к панели управления ракетами и стутниками...
Зная почту юзера, можно пройтись по базе, не у всех юзеров разные пароли. Даже могут на почте быть одинаковые. Поэтому сама база выступает не как цель, а как средства получение информации.
Если у вас базу от сайта украли, как тут запретить брутить? Сами то хоть понимаете что говорите?
Я вам выше дал хеш рутового пароля от дедика. Порутайте сервак и он ваш, оплачивать буду сам в течении года. Какие-то небылицы рассказываете о слабости md5. Да, знаю, что уязвим - на слабых паролях. В остальном нужно голову на плече иметь. Пусть там хоть bcrypt || sha100500 будет - если известен алгоритм - ЖОПА ждет.
---------- Post added 23-07-2012 at 20:43 ----------
Зная почту юзера, можно пройтись по базе, не у всех юзеров разные пароли. Даже могут на почте быть одинаковые. Поэтому сама база выступает не как цель, а как средства получение информации.
Случайно. Не вам хотел спасибо сказать.