Автор Тема: Идея за криптиране  (Прочетена 3080 пъти)

netgraph

  • Напреднали
  • *****
  • Публикации: 34
  • Distribution: *BSD, Fedora, RHEL
  • Window Manager: Fluxbox, Mate
    • Профил
Re: Идея за криптиране
« Отговор #15 -: Oct 30, 2008, 17:56 »
Цитат
I think the suggestion to double-hash your password is not a good idea.  You are much much better off adding a variable salt to passwords before hashing (such as the username or other field that is dissimilar for every account).

Double hashing is *worse* security than a regular hash.  What you're actually doing is taking some input $passwd, converting it to a string of exactly 32 characters containing only the characters [0-9][A-F], and then hashing *that*. You have just *greatly* increased the odds of a hash collision (ie. the odds that I can guess a phrase that will hash to the same value as your password).

sha1(md5($pass)) makes even less sense, since you're feeding in 128-bits of information to generate a 256-bit hash, so 50% of the resulting data is redundant.  You have not increased security at all.

Да не говорим, че не се знае дали няма да направи output-а доста по слаб за разбиване (говорим математически е трудно да се докаже, че като минеш през те3и функции не елиминираш част от свойствата) Също така другия аргумент, е че не се знае дали няма трети стринг, които да произведе това, което ти си произвел без да минава през double-hash. И много много други подобни аргумент.. Изобщо double-hashing е глупост, за DES е доказано че ако се мине с hash-функцията базирана на него няколко пъти не се елиминира, а се подобрява сигурността (за това има 3DES :).
А някои също така маи трябва да прочете man crypt :).

P.S. Има hash concatenation, но то е съвсем друго нещо (всушност за това става дума, че когато единия е слаб... etc)

(Translated with 62c, sorry for the syntax).
« Последна редакция: Oct 30, 2008, 18:31 от GytOS »
Активен
__asm__("jmp .");