md5 x 5, sikrere?

[simenss]

Hvis jeg bruker kodesnutten under for å kryptere passordet, vil det da være sikrere?

 

<?php
md5(md5(md5(md5(md5($passord)))));
?>

 

Bare funderte på det her om dagen

[Gjest Slettet+6132]

Kan ikke akkurat se hvorfor du skal kryptere 5 ganger, jobber du i CIA eller noe? :!:

 

Blir som å bygge hus med vollgrav og det hele rundt

[simenss]

Men krypterer den ikke det krypterte passordet da? Poenget var at det skulle bli vanskeligere å finne frem til passordet

[genstian]

Men krypterer den ikke det krypterte passordet da? Poenget var at det skulle bli vanskeligere å finne frem til passordet

jo men personlig vile jeg ha brukt md5(sha1('passord')); da det er noen programmer som dkryperer nummer en og finner en logisk måtte for og gå rett til den siste.

[Gjest Slettet-rXRozPkg]

Vil bare påpeke at MD5 ikke er kryptering, men hashing.

Med kryptering kan man få tilbake det man krypterte i klartekst, det gjør man ikke med MD5 eller tilsvarende hashingalgoritmer.

 

Ønsker du en sikkrere algoritme, så kan du ta en titt på SHA1.

 

Hasher man passordet flere ganger blir det ikke vanskligere å finne det (rent teknisk), det vil bare ta lenger tid.

Endret 24. april 2005 av Slettet-rXRozPkg

[toss]

det vil jo bli verre å finne frem til passordet, men jeg tror det ikke er så mye vits i å gjøre det 5 ganger..

men det blir vel tryggere..

 

EDIT:litt sen ute der, ja..

Endret 24. april 2005 av toss

[Ernie]

det vil jo bli verre å finne frem til passordet, men jeg tror det ikke er så mye vits i å gjøre det 5 ganger..

men det blir vel tryggere..

Overhode ikke. Rent teknisk vil det ta såvidt mer tid. Når man kjører bruteforce blir det 5stk md5 i stedet for 1. (Man sitter ikke og kommer seg frem til hver enkelt md5-hash) Kjenner man til md5-hashen vil det på de fleste personers passord være mulig å knekke det v.hj.a bruteforce innen 10 timer. Har man en high-end maskin så kan man kutte vekk et par timer. Har man flere CPUer kan man igjen kutte vekk mange timer. Så om du vil la en cracker bruke litt mer tid på å knekke passordet så er det klart 5 x md5 er tryggere, men realistisk sett så er det like (u)trygt. De bedre alternativene vil være md5 + salt og md5 i kombinasjon med sha1.

[toss]

oki.. du har et poeng..

men en cracker vet vel ikke hvor mange ganger det er md5-et?

men det er nok lurere å gjøre det på den andre måten du foreslo, ja..

[genstian]

Dette er vel ganske trykt:

function myhash_keyge_s2k($pass, $bytes ){
      
      $salt=substr(pack("h*", md5(mt_rand())), 0, 8);
      return substr(pack("H*", md5($salt . $pass)), 0, $bytes);
}
function ldap($clear_pw) {
        $salt = myhash_keyge_s2k($clear_pw, 2048);
        $new_password = base64_encode(pack("H*", md5($clear_pw . $salt)) . $salt);
        return $new_password;
}
$hash = ldap("root");
echo $hash

[genstian]

oki.. du har et poeng..

men en cracker vet vel ikke hvor mange ganger det er md5-et?

men det er nok lurere å gjøre det på den andre måten du foreslo, ja..

lag et PHP program til og prøv alle mulig kombinasjoner i "skriv inn passordet" boksen.

[LoS]

Den eneste måten å sikre seg så og si helt mot bruteforce er å lage en egen hash som ingen andre veit hvordan virker, eller kan finne ut hvordan virker.

Hvor lett det blir er selvfølgelig en annen sak.

[genstian]

Den eneste måten å sikre seg så og si helt mot bruteforce er å lage en egen hash som ingen andre veit hvordan virker, eller kan finne ut hvordan virker.

Hvor lett det blir er selvfølgelig en annen sak.

jeg gjore det en gang, men så var koden så treg at jeg ikke bruker det lenger(genererer et 8000++ tegns hash etter arabisk alfabet og som vi bruker sha1 som pynt )

[Ernie]

men en cracker vet vel ikke hvor mange ganger det er md5-et?

Nei, der har du selvsagt et poeng. En cracker aner ikke antallet sånn av seg selv, men jeg hadde ikke satset på akkurat det faktumet. Det finnes mange måter å finne ut en hash. Jeg hadde f.eks med letthet klart å hente ut hashen på passordet mitt på forumet siden den lagres i cookie. Derfra har du et fint ståsted for å finne ut hvordan hashen genereres. Så det er absolutt ikke umulig å finne ut hva som gjøres med passordet.

[☀ ❄]

Den eneste måten å sikre seg så og si helt mot bruteforce er å lage en egen hash som ingen andre veit hvordan virker, eller kan finne ut hvordan virker.

Hvor lett det blir er selvfølgelig en annen sak.

Security through obscurity er en dårlig praksis.

[pgdx]

Som Myubi sa, STO er en dårlig idé.

 

Man skal alltid skrive programmer som inneholder noe med sikkerhet, med tanke på at «fienden» innehar kildekoden.

[laffa]

Vel, nå er jo ikke bare "hashing" av passord et sikkert tiltak. Det kan gjøre det teknisk å ta lengre tid å cracke, men om noen velger som mangen gjør idag er passord som deres egne førstenavn, fødseldatoen sin, fødseldatoen til moren sin, eller det flotte passordet 1234. Bruker du slike passord, så er det lett å cracke dem med bare "prøve og feile" mteoden.

 

Tror at jeg har lest at md5 er en enveis logaritme, så at det skal være mulig å reverse den skal vel egentlig ikke gå ann?

Endret 29. april 2005 av laffa

[LoS]

Har seg jo sånn at det er mer brukerfeil enn programmeringsfeil, så akkurat den der tar ihvertfall jeg lite tungt.