Autor Zpráva
text
Profil *
lidi dokonalé zabezpečení? loginu? hesel?

md5 ? jsem otom něco četl ale nikde jsem neviděl script jak
to protahnu z hesla tam a potom při výpisu potřebuju aby při porovnani při loginu se mi to protahlo na normal text jakse to dělá?

jináč je dobré to md5? někde psali něco že jsou nějaké chyby vtom nebo něco :-D moc jsem to nepochopil



pak se chcu zeptat seznam ted nahodil nějaké zabezpečení SSL jak to fičí? :-D coto vubec je? paru slovy diky .
Peca
Profil
md5 je hashovací funkce. Dáš md5($heslo) a vrátí to nějaký řetězec znaků. Když budeš chtět porovnat heslo při logování, tak ho prostě taky převedeš na ten řetězec a porovnáváš tyto řetězce. V žádném případě není možné z toho řetězce dostat zpět heslo. Taková funkce neexistuje.
WanTo
Profil
V žádném případě není možné z toho řetězce dostat zpět heslo. Taková funkce neexistuje.
Ale existuje ;-) Kolize k MD5ce se dá najít během několika vteřin.
zimmi
Profil
Co vůbec znamená, že se dá najít kolize MD5?
WanTo
Profil
zimmi
md5($heslo) == md5($kolize)

$kolize a $heslo nemusí být stejné.
zimmi
Profil
No, tos mi to moc nevysvětlil, pořád nechápu o co se vlastně jedná a kde je ono potencionální nebezpečí (je-li nějaké).
WanTo
Profil
Když potřebuješ do databáze uložit nějaké heslo, je dobré ho zakódovat MD5kou. Kdyby se ti někdo do databáze naboural, nebude mít hesla, ale jen dlouhá hexadecimální čísla.

MD5 se nedá rozkódovat. Neexistuje zpětná funkce, z čehož vyplývá, že heslo nemůžeš nijak získat. Jak se dá ověřit správnost hesla? Zakóduje se to, které vyplníš v přihlašovacím formuláři a porovná se se zakódovaným heslem v databázi.

To vypadá dost bezpečně.



Kolize znamená, že je nalezen řetězec, jehož MD5 odpovídá MD5 hashi, který třeba ukradneš v nějaké databázi :-) Problém je v tom, že kolize, kterou najdeš nemusí být shodná s původním heslem. Ještě horší na tom je, že nalezená kolize je většinou jen pár nesmyslných bajtů, které ani nemusí být znaky.

Toto jsem popsal kusem tím kódu:

md5($heslo) == md5($kolize)

$kolize a $heslo nemusí být stejné.



Vrátím se k původnímu dotazu:
mělo by stačit udělat "dvojitou" md5. Tj. md5(md5($heslo)). To už je celkem bezpečné.
text
Profil *
takže pokud chci vytáhnout to heslo to ho už nerozluštim? a jak to maj dělané když zapomeneš heslo tak ti někde třeba pošlou to heslo na email to jako to nemaj v md5 ?
WanTo
Profil
text
Můžeš porovnat dva MD5 hashe. To většinou stačí.

a jak to maj dělané když zapomeneš heslo tak ti někde třeba pošlou to heslo na email to jako to nemaj v md5 ?
Napadají mě dvě možnosti:
1) Heslo nekódují MD5kou, ale nějakým algoritmem, pro který existuje i možnost rozkódování.
2) Vytáhnou heslo odněkud z logu.
koudi
Profil
A nebo sou prostě jenom pitomý a maj ho jako plain-text :)
a
Profil *
a co kdybych to protáhl 3krát? md5? :-D bude to lepší? :-D
WanTo
Profil
a
Čím víckrát, tím bezpečnější a pomalejší.
ronan
Profil
Je prakticky nemožné to heslo prolomit. Ani trochu se neboj MD5 použít.
Peca
Profil
Kolize k MD5ce se dá najít během několika vteřin.
To by mě velice zajímalo jak?
Anonymní
Profil *
takže pokud chci vytáhnout to heslo to ho už nerozluštim? a jak to maj dělané když zapomeneš heslo tak ti někde třeba pošlou to heslo na email to jako to nemaj v md5 ?
Vygeneruje se náhodný řetězec, ten se uloží do datbáze ( v MD5 ) a odešle se uživateli. Ten se musí přihlásit tímto generovaným heslem a pak si ho může změnit podle libosti.
error414-
Profil *
WanTo
pls precti si poradne jaka kolize byla nalezena. K EXISTUJICI MD5 HASI NELZE ZATIM NALEZT RETEZEC SE STEJNOU HASI.
Pokus se pletu pls link. http://www.root.cz/clanky/nalezani-kolizi-md5-hracka-pro-notebook/
WanTo
Profil
http://www.root.cz/clanky/tunely-v-hasovacich-funkcich-kolize-md5-do-m inuty/
Toto téma je uzamčeno. Odpověď nelze zaslat.