Если ты знаешь где в картинке что лежит, то и он знает. Хочешь добавить мусора - просто добавь мусора.
Если ты про меня то исходя из доступного времени любой может помучать свою видеокарту на наборе из латинских символов и убедиться что a-z это две минуты на 6 символов. Остальное просто высчитать. 7 символов уже час. Но буде таковое желание и оправданность, могут запряч и ферму. Добавлено спустя 46 секунд: блин ну ты сам-то как-то будешь этот пароль проверять и знать откуда брать?
Я уже не помню кто. Может и ты, а может и нет. Извиняюсь, - ошибся в цифрах Теперь согласен полностью, что хеш для 6-и символов [a-z] вскрывается быстро. (всего ~387 млн. вариантов) Для 6-и[a-zA-Z0-9] -> ~6часов. И для 8-и [a-zA-Z0-9] (~2^48 вариантов) -> понадобится всего ~25000 часов для полного перебора (в твоём случае). п.с. надеюсь теперь правильно посчитал Судя по цифрам, устойчивым к взлому стоит считать исходник (для MD5) от 10 символов. Т.е. если добавить "соль" в 10 символов, то хеш практически не дешифруется. Я правильно понял?
Все варианты, которые можно подобрать за разумное время (25 тыс. часов. - тоже), давно перебраны и записаны в радужные таблицы. 10 символов, конечно, устойчиво к брутфорсу, но надо учесть 1) не исключена коллизия с более короткой комбинацией 2) существуют методы дифференциального поиска коллизий в течении минуты на слабом ноутбуке. Добавлено спустя 39 секунд: прятать по-дальше всё тот же md5 глупо =)
соль обычно известна и не для того пихается, а чтобы задать жару радужным таблицам. но по сути можно ввести некое рандомное поле в бд, тоже напряжет изрядно. только не надо париться так. Во-первых md5 себя изжил. Усё. Досвидос. Во-вторых, кому надо, тот найдёт дырку
Может просто не увидел резона вам что-то доказывать? http://www.insidepro.com/rus/egb.shtml 426 мил хешей в секунду. Цифробуквы - 62 символа... ну со спец символами 94 Пусть пароль 8 знаков - это 165 дней. Много? Но это на древней дешевой карте. Топовые карты, 3-4 компа и твой 8-значный пароль разворачивается за месяц, а то и неделю.
я себе так и сделал)) не особо геморно но потом подумал что crypt с солью и так не отгадать поэтому для каждой записи иметь свою соль решил, что глпо иперестал такое пользовать).. Реально даже md5 редко когда легко угадать можно. Есть всякие сервися хранят базы сколько раз туда не пихал ни чего не находит)).. Кому из людей надо реально проще сервер взломают. Вон на античате продаются серваки))) с вполне рабочими сайтами с тицами 100 и 1000 и 5000.
а против коллизий не грех заюзать даже две разные сложные функции на разные хеши, чтобы коллизия с одним хешем не привела к проколу обороны. с солью и так весьма геморно школьникам ковырять сайты. это главное чтобы не вскрывали пароли массово, ибо по мылу можно этим паролем зачастую и на другие сайты получить доступ. Добавлено спустя 1 минуту 4 секунды: MD5 УМЕР
> чтобы коллизия с одним хешем не привела к проколу обороны. Забейте, коллизии на пароли не должны вас волновать, коллизии удел больших блоков данных.. А если пароль соленый, то про слово "коллизия" можно вообще забыть.
Насколько быстро можно будет декодировать MD5 пароль длинной 16 символов, вида: aJ9Lp00K9JmzxAAe + возможна соль.
Выше было упомянуто 1террабайт данных. Это всего около 7*10^10 записей. 62^8 это ~2*10^14, что потребует ~4.000 террабайт. Я не встречал инфы, что такие базы существуют. Да и смысла в них мало - это дорого (овчинка выделки не стоит). Не исключено, но вероятность маленькая, я так думаю. Это уже интересней. Добавлено спустя 29 минут 32 секунды: Я вот тут задумался... Почитал малость про вычисление коллизий. Ну хорошо, предположим (условно!) есть пароль "пупкин", есть соль "s7o7dtFP8w" - получили MD5, закинули в БД. Затем хакер спёр БД, поднапрягся и получил коллизию (условно!) "бла-бла-бла". Какова и в чём угроза юзеру от этой коллизии? И какова и в чём угроза сайту от неё же?
> Какова и в чём угроза юзеру от этой коллизии? И какова и в чём угроза сайту от неё же? Никакой угрозы. От коллизий нет угроз, есть угроза брутфорса.
Я вот тоже не могу понять - ну забрутфорсит кто-то хэш от пароля с солью - и что? Соль-то он не знает. Будет пытаться ввести этот пароль в форме на сайте, но ничего не выйдет.
простите что вмешиваюсь, а покажите сервак который даст себя неделю непрерывно бутфсить по Nтыщ запросов в секунду?