Как это осуществляется лучше, чем MD5 + соль?


Как это осуществляется лучше, чем MD5 + соль?

15.01.2016 05:39:36 Просмотров 29 Источник

Пожалуйста, прочитайте обновления тоже, так как моя "фактическая путаница" находится там.

С тех пор как появилась Джумла, здесь всегда было тихо! начал поддерживать алгоритм хэширования bcrypt, наряду с md5 + salt, который был defacto со времен Joomla! 1.5.

Теперь мой вопрос заключается в следующем: "как конечный пользователь, Какие преимущества я получу, если начну использовать Bcrypt сразу же, по сравнению с текущим алгоритмом, а именно. MD5 + salt? Есть ли вообще какая-то разница для обычного блога с несколькими сотнями посетителей в день?"

Обновление:-

Также я где-то читал, что из-за скорости хеширования md5 мой пароль может быть легко вычислен в течение нескольких дней/месяцев @ most.

Но разве это не требует, чтобы мой хэш уже присутствовал с атакующим для сравнения? И если у него / нее нет хэша в первую очередь, то как алгоритм хэширования, который я использую, влияет на безопасность моих сайтов? И в конце концов ему все равно придется грубо форсировать мою страницу входа в систему?

И если все сводится к грубому форсированию их пути, то разве Bcrypt не одинаково уязвим для угадывания пароля?

У вопроса есть решение - Посмотреть?

Ответы - Как это осуществляется лучше, чем MD5 + соль? / How is Bcrypt better than md5 + salt?

yoshiMannaert

15.01.2016 05:56:34

Насколько я понимаю, Bcrypt безопаснее. Это сделано, чтобы быть медленнее, это делает его более трудным для злоумышленника, чтобы перебить пароль. Он может быть настроен на повторение все больше и больше, что полезно, Так как процессор становится все более мощным.

Вот в чем смысл настраиваемой медлительности: вы можете сделать функцию настолько медленной, насколько захотите. Или, точнее, настолько медленно, насколько вы можете терпеть: действительно, медленная функция является медленной для всех, как для нападающего, так и для защитника.

Эти ссылки могут быть полезны:

https://security.stackexchange.com/questions/61385/the-brute-force-resistence-of-bcrypt-versus-md5-for-password-hashing

https://www.bentasker.co.uk/blog/security/201-why-you-should-be-asking-how-your-passwords-are-stored

В чем разница между bcrypt и многократным хэшированием?

https://www.quora.com/What-is-the-difference-between-bcrypt-and-general-hashing-functions-like-MD5

https://security.stackexchange.com/questions/4781/do-any-security-experts-recommend-bcrypt-for-password-storage/6415#6415

Является ответом!
ceejayoz

15.01.2016 05:59:24

Но разве это не требует, чтобы мой хэш уже присутствовал с атакующим для сравнения? И если у него / нее нет хэша в первую очередь, то как алгоритм хэширования, который я использую, влияет на безопасность моих сайтов? И в конце концов ему все равно придется грубо форсировать мою страницу входа в систему?

Во-первых, нет. Многие сайты разрешают попытки входа в систему без ограничения скорости. С MD5, предполагая, что серверы могут справиться с этим, пользователь может очень быстро попытаться перебрать пароли грубой силы, просто попробовав множество паролей в быстрой последовательности. медлительность bcrypt гарантирует, что такая попытка будет намного медленнее.

Во-вторых, ключевой концепцией безопасности в вычислительной технике является глубокая защита . Вам не нужен только один уровень безопасности - довольно легко случайно написать уязвимость SQL-инъекции,которая может позволить злоумышленнику сбросить хэши паролей. С использованием bcrypt, вы ограничения на повреждения , такие уязвимости могут привести.

Daniel Loureiro

22.09.2019 05:23:51

Помимо "соли", BCrypt принимает аргумент "стоимость", который является его главной особенностью. Стоимость - это объем вычислительной работы, который вы хотите применить к хешированию. Думайте об этом как о повторном хешировании результата 2^n раз, где n-это стоимость.

Хэшированная строка будет чем-то вроде cost;hashed_string (ex. 20;5D4140). Это, конечно, не настоящий формат, а чрезмерное упрощение, чтобы показать идею.

Эта "концепция стоимости" заставляет осуществляется "устаревание устойчивы". Если за 10 лет вычислительная мощность увеличивается в 1000 раз, вам просто нужно повторно хэшировать свои хэши с более высоким "n" (не нужно иметь исходное значение, чтобы увеличить стоимость).

Помочь в развитии проекта:
Закрыть X