Хеширование паролей не спасет ни вас, ни ваших пользователей. После того, как база данных паролей будет украдена, хакеры направят огромные вычислительные мощности на эти базы паролей.
True, если пароль кричит: "да, вы нашли правильное совпадение". Однако, если «force-brute-bot» не может идентифицировать совпадение not, то подобрать пароль с помощью force brute невозможно.
Кроме того, использование SALT помогает.
Пример:
Это мой хэш:
89472ebc1a5f57d8918812acd8898409
Он был зашифрован с использованием следующего алгоритма
MD5(MD5(СОЛЬ+ПАРОЛЬ) + СОЛЬ)
- В пароле используются 4 буквы, только буквы и строчные буквы. Легкий? Теоретически его можно победить за 26 х 26 х 26 х 26 = 500 тысяч возможностей, даже обычный компьютер может сгенерировать 500 тысяч возможностей менее чем за час. Кроме того, MD5 довольно быстр.
- Черт, даже пароль есть практически в любом радужном словаре (но это не 1234).
Можете ли вы угадать пароль?
Нет, ты не будешь.
Миф: md5 небезопасен.
Миф: длинный пароль безопасен.
Миф: брут-перебор может взломать любой пароль.
Трюк следующий. Длина пароля спорна, если мы добавим SALT. Во-вторых, md5("что-то") возвращает не ожидаемое значение (длинный список случайных значений), а размер, и существует бесконечное количество возможностей.