Dziś byłem świadkiem jak hasło do konta zostało złamane w 2h - maskara. Szukam sposobu zmiany zapisu hasła w bazie na coś mocniejszego.

Jak się ma dostęp do odpowiedniego sprzętu to raczej wszystko da rade złamać

Jeśli standardowe zabezpieczenia są zastosowane, czyli po 5krotnym wklepaniu złego hasła masz (chyba)15 minut blokady, to złamanie normalnego hasła jest bliskie niemożliwości.
W 2 godziny daje ci to możliwość sprawdzenia tylko 40 różnych możliwości. Jeśli komuś udało się to zrobić tak szybko, to znaczy, że miałeś bardzo marne hasło i niezależnie od tego, jak będzie ono zaszyfrowane, złamie ktoś to bardzo szybko.

W związku z tym zabezpieczeniem sposób szyfrowania haseł nie ma wpływu na szybkość uch złamania chyba, że ktoś zakosi ci bazę danych. Znając wówczas salt, który jest zapisany w bazie obok hasła, można próbować bruteforcem (zapewne z pomocą słowników) łamać hasła. W takim wypadku mając dobrą maszynę faktycznie można stosunkowo szybko złamać hasło, ale to stosunkowo szybko to nadal dość sporo jeśli masz sensowne hasło. No chyba, że hasło ma mało liter albo jest bardzo proste, np. aaaaaaaa albo też jest łatwe do znalezienia w słowniku.

MD5 jest używane między innymi właśnie z tego powodu, że jest wykonywane stosunkowo szybko. Można wymyślić sposób kodowania, który będzie potrzebował kilku sekund na jedno hasło, ale wówczas zapomnij o forum, na którym siedzi online kilkanaście osób, nie wspominając o setkach czy tysiącach. Trzeba po prostu znaleźć kompromis pomiędzy szybkością a jakością.

Po za tym weź też pod uwagę specyfikę MD5. Salt jest używany tutaj nie bez powodu. To, że złamałeś jednego usera nie daje ci wcale pewności, że to jest właściwe hasło, a tylko że tutaj zadziała. Jeśli nie trafiłeś na prawdziwe hasło a tylko na takie, które daje tą samą wartość MD5, to być może w innym miejscu nie zadziała ono

MatKus, jemu chodziło raczej o hasło w postaci md5 + salt, a nie przez logowanie się i sprawdzanie hasła.

Hasło, ale w postaci md5 + salt, to nie problem.
Dobra karta grafiki, i wcale nie musi trwać to aż 2 godziny.
Wszystko zależy od tego, jak bardzo skomplikowane jest Twoje hasło.

wszystko zależy od tego jak mocne jest twoje hasło

najlepiej ustaw sobie hasło losowe z różnymi znakami wtedy nie ma szans aby ktoś z tego świata je złamał.

np: 7h$5%*2d{]4frR7f

http://www.kopaczka.net/statystyki-cd/

Zamieszczone przez HDS

wszystko zależy od tego jak mocne jest twoje hasło

najlepiej ustaw sobie hasło losowe z różnymi znakami wtedy nie ma szans aby ktoś z tego świata je złamał.

np: 7h$5%*2d{]4frR7f

http://www.kopaczka.net/statystyki-cd/

łady słownik i pozamiatane :/

to, że algorytm md5 nie jest bezpiecznym jest znane chyba od 2004... istnieje system/sposób generowania kolizji czyli takich ciągów znaków, które tworzą identyczny hash.. fakt podwójnego hashowania znacznie to utrudnia, ale wcale nie uniemożliwia co zresztą udowodniono w tym teście..
ja od właśnie gdzieś 2004 roku zacząłem z powodzeniem stosować sha1, który jest o wiele bezpieczniejszy i raczej nie do złamania na domowym komputerze..

Ogólnie w kwestii bezpieczeństwa, etc mogę trochę pomóc.

dokladnie sha1 + md5 juz lepiej

Zamieszczone przez brattanek

dokladnie sha1 + md5 juz lepiej

hashowanie hasha ma jedną wadę.. za drugim razem hasujemy już znaki [a-z] oraz [0-9].. więc kombinacji jest o wiele mniej... fakt, że hasujemy więcej znaków (ale to zależy od złożoności hasła) jednak nie przemawia do mnie.