Názory k článku Postřehy z bezpečnosti: ve světle hodných červů
-
koudy (neregistrovaný)
Security #101 - NIKDY, NIKDE neukládejte, neposílejte, neporovnávejte ani jinak nepracujte s "čistým" heslem (plain text) - v ideálním případě nepoužijete ani přihlašovací jméno, pouze hash z hesla, přihlašovacího jména a nějaké soli. (pak by to samozřejmě ani nemohlo být detekovatelné, že někdo jiný používá stejné heslo)
Pevně doufám, že to je jen vtip, ale pokaždé když vidím "byla ukradena hesla, která byla v DB uložena neHASHovaně", tak mě poleje studený pot.
-
LOLek (neregistrovaný)
Jo, proc nepridat moznost kolize, ktera z nenadani vyskoci a bez redesignu tohoto uzasneho zpusobu overovani s ni nepujde deat nic jineho nez "no to si jeden z Vas bude muset zmenit heslo [a vsichni budeme doufat ze to nezacne kolidovat s nejakym jinym username+heslo+sul hashem]".
-
LOLku LOLku, na tvůj výrok lze dodat jen ROFLMAO.
Kdyby taková kolize mohla nastat s pravděpodobností větší než to, že tě trefí meteorit, tak by se to využilo k útoku na přihlášení náhodnými hesly. Spousta systémů používá spokojeně sha1 hash k indexaci dokumentů, a nikdo nemá problém s tím, že by dva "náhodné" dokumenty měly stejný hash. Zatím se jen dá pečlivou přípravou vyrobit dva podobné dokumenty se stejným hashem a i to není vůbec žádná prdel.
Jediný problém je, když někdo zvolí špatnou hashovací funkci, nebo nedej bože moc krátký hash (třeba 10 bytů). To je ale potom kryptografický ignorant a měl by být zbaven vývojářské svéprávnosti. -
Zero (neregistrovaný)
Tak neviem ale nasla sa kolizia md5, sha1 ale ako bezpecne sa povazuhu sha256 sha512, takze podla mna ak sa nebudu pouzivat prve dve hashovacia algoritmi, tak ta kolizia tak skoro nenastane. A ako pisal ebik: Zatím se jen dá pečlivou přípravou vyrobit dva podobné dokumenty se stejným hashem a i to není vůbec žádná prdel.
ČLÁNKY DO MAILU