-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Какой смысл в md5?
- Автор темы dimant
- Дата начала
- Статус
- В этой теме нельзя размещать новые ответы.
Макс
Старожил PHPClub
Вот тебе md5 :.Если получить доступ к хэшированным данным то расшифровать их не составит никакого труда.
Код:
e52016900e395e6eb0fc2830dc305ea3jer
...
да ну?
ну не шифруй тогда.
ps: хотя это не шифрование, а хеширование.
-~{}~ 12.10.04 21:48:
dmisizov
ты хоть смысл хеширования понимаешь?
по хешу по определению невозможно восстановить исходное сообщение, даже если у тебя будут неограниченные ресурсы.
т.к. исходных сообщений соответствующих хешу бесконечное множество.
ну не шифруй тогда.
ps: хотя это не шифрование, а хеширование.
-~{}~ 12.10.04 21:48:
dmisizov
ты хоть смысл хеширования понимаешь?
по хешу по определению невозможно восстановить исходное сообщение, даже если у тебя будут неограниченные ресурсы.
т.к. исходных сообщений соответствующих хешу бесконечное множество.
kamikadz
Guest
Re: Какой смысл в md5?
обратно вернуть невозможно чисто алгоритмически... только если угадать... в этом и есть смысл хэширования....
можно было бы перебором восстановить пароль.... но хэш-функция неизвестна....
хэширование - это способ одностороннего преобразования.Автор оригинала: dmisizov
<?
Сабж.Если получить доступ к хэшированным данным то расшифровать их не составит никакого труда.Тогда зачем их шифровать md5?
?>
обратно вернуть невозможно чисто алгоритмически... только если угадать... в этом и есть смысл хэширования....
можно было бы перебором восстановить пароль.... но хэш-функция неизвестна....
Demiurg
Guest
kamikadz
хеш-функция известна, это md5.
хеш-функция известна, это md5.
kamikadz
Guest
Demiurg
в любом случае только перебором аргумента.... это долго....
очень долго....
в принципе и DES можно... и ГОСТ.... и AES... в принципе
jer
ну и пожалуйста... бесконечно так бесконечно... главное чтобы хоть один из аргументов ввести.. и все....
в любом случае только перебором аргумента.... это долго....
очень долго....
в принципе и DES можно... и ГОСТ.... и AES... в принципе
jer
ну и пожалуйста... бесконечно так бесконечно... главное чтобы хоть один из аргументов ввести.. и все....
Paxan
Новичёк
А можно узнать, где это конкретно создаются? И почему именно под md5?Originally posted by Кром
kamikadz
Возможно не только перебором. Сейчас достаточно активно создаются базы хешей в интернете. И большинство паролей, увы, отгадываются не бесконечно долго.
Romantik
TeaM PHPClub
Угу, только по нормальному лучше добавлять префикс к паролю и тогда перебор и база хешей дружно идут нафикВозможно не только перебором. Сейчас достаточно активно создаются базы хешей в интернете. И большинство паролей, увы, отгадываются не бесконечно долго.
Кром
Новичок
>А можно узнать, где это конкретно создаются? И почему именно под md5?
Поищи в гугле.
А md5 потому что это наиболее популярный вариант хеширования паролей. Впрочем, собирают и не только хеши md5. Тут, как говориться, хватило бы места на диске.
>Угу, только по нормальному лучше добавлять префикс к паролю и тогда перебор и база хешей дружно идут нафик
Это плохо переносимое решение. Получается, что за базой данных нужно тягать алгоритмы хеширования пароля.
Поищи в гугле.
А md5 потому что это наиболее популярный вариант хеширования паролей. Впрочем, собирают и не только хеши md5. Тут, как говориться, хватило бы места на диске.
>Угу, только по нормальному лучше добавлять префикс к паролю и тогда перебор и база хешей дружно идут нафик
Это плохо переносимое решение. Получается, что за базой данных нужно тягать алгоритмы хеширования пароля.
Romantik
TeaM PHPClub
Почему?Это плохо переносимое решение. Получается, что за базой данных нужно тягать алгоритмы хеширования пароля.
config.inc.php достаточно с собой "тягать"
pooopsss
Guest
MD5
Вообще если очень захотеть, то MD5 расшифровать можно
например INsideMD5. Но дело в том что злоумышленнеку вначале надо получить доступ к файлу или базе в котором находятся эти пароли. А если у тебя в той дире еще стоит и
.htaccess с deny from all то вообще его тяжело вытащить.
На самом деле если злоумышленник захочит взломать тебя,то у него это обязательно получится. Просто MD5 один из самых лучших методов шифрования данных на сегодняшний день.
P.S. Возьми Пентагон....Сколько они защиту свою не модернезировали все равно ломают....Так что выбирай сам.
Вообще если очень захотеть, то MD5 расшифровать можно
например INsideMD5. Но дело в том что злоумышленнеку вначале надо получить доступ к файлу или базе в котором находятся эти пароли. А если у тебя в той дире еще стоит и
.htaccess с deny from all то вообще его тяжело вытащить.
На самом деле если злоумышленник захочит взломать тебя,то у него это обязательно получится. Просто MD5 один из самых лучших методов шифрования данных на сегодняшний день.
P.S. Возьми Пентагон....Сколько они защиту свою не модернезировали все равно ломают....Так что выбирай сам.
Demiurg
Guest
pooopsss
хеш нельзя "расшифровать" по определению.
хеш нельзя "расшифровать" по определению.
kamikadz
Guest
вообще, если информация настолько ценна - ее не хешируют при помощи мд5...
очень важный параметр - соотношение важности информации и способа ее защиты....
секретная, особой важности информация вообще не может храниться на компьютере, подключенном к сети (возможно только если все компы в этой сети прошли специальную процедуру и не имеют связи с другими сетями...)
а уж чтобы получить к ней доступ......
множество информации шифруется методами, неизвестными народу (военные разработки например..)
а если говорить о доступном, то взять хотя бы метод AES... считается очень защищенным... вот им и шифруйте....
а примерно раз в год можно менять пароль... тогда, если не очень быстро увеличится производительность систем, можно гарантировать нерасшифровываемость инфы......
НО!!! в данном случае есть другие слабые места... например SSL менее защищенный чем md5. то есть времени на "расшифровку" меньше уйдет.
pooopsss что конкретно ломают у пентагона? не смеши меня....
очень важный параметр - соотношение важности информации и способа ее защиты....
секретная, особой важности информация вообще не может храниться на компьютере, подключенном к сети (возможно только если все компы в этой сети прошли специальную процедуру и не имеют связи с другими сетями...)
а уж чтобы получить к ней доступ......
множество информации шифруется методами, неизвестными народу (военные разработки например..)
а если говорить о доступном, то взять хотя бы метод AES... считается очень защищенным... вот им и шифруйте....
а примерно раз в год можно менять пароль... тогда, если не очень быстро увеличится производительность систем, можно гарантировать нерасшифровываемость инфы......
НО!!! в данном случае есть другие слабые места... например SSL менее защищенный чем md5. то есть времени на "расшифровку" меньше уйдет.
pooopsss что конкретно ломают у пентагона? не смеши меня....
Demiurg
Guest
kamikadz
ты бы сначала научился отличать хеш от шифорвания, а потом можешь пытаться писать умные посты.
ты бы сначала научился отличать хеш от шифорвания, а потом можешь пытаться писать умные посты.
jer
...
kamikadz
да что вы заладили, md5 - не метод шифрования.
по нему ты не восстановишь исходной информации.
ты можешь только подобрать несколько вариантов, но при ограниченной и маленькой длинне исходного сообщения. для подбора пароля это хоть как-то актуально, т.к. пароль как правило короткий и не несет в себе никакой информации, кроме как необходимости соответствовать хешу. а вот какой-нить реальный документ по его хешу ты никогда не восстановишь.
понимаешь разницу?
да что вы заладили, md5 - не метод шифрования.
по нему ты не восстановишь исходной информации.
ты можешь только подобрать несколько вариантов, но при ограниченной и маленькой длинне исходного сообщения. для подбора пароля это хоть как-то актуально, т.к. пароль как правило короткий и не несет в себе никакой информации, кроме как необходимости соответствовать хешу. а вот какой-нить реальный документ по его хешу ты никогда не восстановишь.
понимаешь разницу?
kamikadz
Guest
jer
я ж не говорил, что это шифрование...
читайте внимательно:
"хэширование - это способ одностороннего преобразования.
обратно вернуть невозможно чисто алгоритмически... только если угадать... в этом и есть смысл хэширования....
можно было бы перебором восстановить пароль.... но хэш-функция неизвестна...."
то есть я имею ввиду что... допустим есть аргументы:
х - пароль исходный
Ф - md5 функция
у - результат
у = Ф(х)
у - известно, хранится в базе...
берем х1, х2 и тд, пока не получим, что Ф(от какого-то х итого) равно у. допустим это х100.
тогда у=Ф(х100).
получили, что если подставить в форму в поле пароль х100 (х100 скорее всего отличается от х изначального....), то результат у=Ф(х100) = Ф(х).
таким образом, делая запрос хеша оригинального пароля в базе и сравнивая его с хэшем от х100 получим идентичность...
в этом и заключается "расшифрока"...
заметьте, о восстановлении исходной инфы я ни слова не говорил.
-~{}~ 13.10.04 14:43:
jer
я говорил конкретно о пароле...
а тебе не кажется глупым накладывать хэш функцию на реальный документ??? глупости не говори...
я ж не говорил, что это шифрование...
читайте внимательно:
"хэширование - это способ одностороннего преобразования.
обратно вернуть невозможно чисто алгоритмически... только если угадать... в этом и есть смысл хэширования....
можно было бы перебором восстановить пароль.... но хэш-функция неизвестна...."
то есть я имею ввиду что... допустим есть аргументы:
х - пароль исходный
Ф - md5 функция
у - результат
у = Ф(х)
у - известно, хранится в базе...
берем х1, х2 и тд, пока не получим, что Ф(от какого-то х итого) равно у. допустим это х100.
тогда у=Ф(х100).
получили, что если подставить в форму в поле пароль х100 (х100 скорее всего отличается от х изначального....), то результат у=Ф(х100) = Ф(х).
таким образом, делая запрос хеша оригинального пароля в базе и сравнивая его с хэшем от х100 получим идентичность...
в этом и заключается "расшифрока"...
заметьте, о восстановлении исходной инфы я ни слова не говорил.
-~{}~ 13.10.04 14:43:
jer
я говорил конкретно о пароле...
а тебе не кажется глупым накладывать хэш функцию на реальный документ??? глупости не говори...
jer
...
kamikadz
про хеш ты правильно мыслишь.
просто ты слово расшифровка не к месту упортебил, вот и возникло недопонимание.
вот почитай и просвятись.
ps: хеширование применяется много где, не только чтобы пароли на php "шифровать" (читай - хешировать).
про хеш ты правильно мыслишь.
просто ты слово расшифровка не к месту упортебил, вот и возникло недопонимание.
про цифровую подпись слышал поди?а тебе не кажется глупым накладывать хэш функцию на реальный документ??? глупости не говори...
вот почитай и просвятись.
ps: хеширование применяется много где, не только чтобы пароли на php "шифровать" (читай - хешировать).
kamikadz
Guest
jer
"про цифровую подпись слышал поди?
вот почитай и просвятись."
так это не на реальный документ, а всего навсего на длинный пароль...
на документ имеет смысл наклажывать только двусторонюю функцию... я думаю ты понимаешь о чем я...
"про цифровую подпись слышал поди?
вот почитай и просвятись."
так это не на реальный документ, а всего навсего на длинный пароль...
на документ имеет смысл наклажывать только двусторонюю функцию... я думаю ты понимаешь о чем я...
- Статус
- В этой теме нельзя размещать новые ответы.