Хеширование паролей не спасет ни вас, ни ваших пользователей. После того, как база данных паролей будет украдена, хакеры направят огромные вычислительные мощности на эти базы паролей.

True, если пароль кричит: "да, вы нашли правильное совпадение". Однако, если «force-brute-bot» не может идентифицировать совпадение not, то подобрать пароль с помощью force brute невозможно.

Кроме того, использование SALT помогает.

Пример:

Это мой хэш:

89472ebc1a5f57d8918812acd8898409

Он был зашифрован с использованием следующего алгоритма

MD5(MD5(СОЛЬ+ПАРОЛЬ) + СОЛЬ)

  1. В пароле используются 4 буквы, только буквы и строчные буквы. Легкий? Теоретически его можно победить за 26 х 26 х 26 х 26 = 500 тысяч возможностей, даже обычный компьютер может сгенерировать 500 тысяч возможностей менее чем за час. Кроме того, MD5 довольно быстр.
  2. Черт, даже пароль есть практически в любом радужном словаре (но это не 1234).

Можете ли вы угадать пароль?

Нет, ты не будешь.

Миф: md5 небезопасен.

Миф: длинный пароль безопасен.

Миф: брут-перебор может взломать любой пароль.

Трюк следующий. Длина пароля спорна, если мы добавим SALT. Во-вторых, md5("что-то") возвращает не ожидаемое значение (длинный список случайных значений), а размер, и существует бесконечное количество возможностей.