+ Rispondi al Thread
Pagina 2 di 2 primaprima 12
Visualizzazione dei risultati da 11 a 11 su 11

Discussione: LogIn + Check Utente

  1. #11
    L'avatar di +m+
    +m+
    +m+ non è in linea Scribacchino
    Post
    922
    Quote Originariamente inviato da sistemista Visualizza il messaggio
    Una password criptata sarà difficile decriptarla..con gli hash tipo MD5 sappiamo benissimo che in rete cosa circola,comunque sia,spetta al programmatore cosa fare e non fare.
    Una password criptata è banale da decifrare.
    Perfino un hash MD5 opportunamente "salato" e reiterato è immune a qualsiasi sito ed anche alle rainbow table.
    Adottando un banale "combo" (salato) tipo SHA256 (se proprio non ti fidi di SHA1) e Whirlpool non circola, e non circolerà, proprio un bel niente.
    Addirittura questo
    codice:
    select md5(concat(md5('pippo'),'pluto'))
    non è per nulla facile.
    L'approccio ovviamente migliore è quello di mantenere il "sale" insieme alla password nel database, e generarlo ogni volta diverso.
    In questo caso anche il banalissimo doppio md5 sopra indicato è più che sicuro.
    (ri)Utilizzando invece il medesimo sale si possono avere problemi di sicurezza soprattutto se si hanno collisioni nelle password (più utenti con la stessa password), ma comunque moooolto attenuati
    codice:
    select md5(concat('pippo','XkefejCj3hejhXHXGAHg343y4tYT3@j3jh£###DV')
    è molto, ma moooolto difficile.

    Poi se vogliamo adottare le varie strategie per rallentare le bruteforce, tipo iterare un milione di volte una combinazione di funzioni hash tra le più lente (esempio whirlpool) e mixarle etc, si può rendere la vita molto dura, per non dire impossibile.

    Riassunto: c'è la leggenda metropolitana che gli hash siano facili da invertire.
    Non lo sono per nulla, se si adottano qualche accorgimento.
    Non lo sono affatto, con gli accorgimenti giusti.

    Ovviamente la crittologia è un ambito superspecialistico e superdifficile, dove basta una , per demolire quello che si pensava essere un muro invalicabile.
    Certamente non alla portata dell'hobbysta medio, e anche del presunto professionista medio.

    Ma seguendo quelle 4 o 5 linee guida puffff...
    Ultima modifica di +m+; 18-10-2014 10:01 

+ Rispondi al Thread
Pagina 2 di 2 primaprima 12

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi