Formatering af kodeord

SHA1 er sikre end MD5, som så småt er på vej ud, da den er for usikker!

Hvis du vil sikre at andre ikke får fat i folks password, skal du gøre som Robert forklarede i sit svar. Jeg vil dog anbefale at bruge sha1 istedet for md5, da den skulle være langt sværere (umulig?) at "knække"

AH, langt fra umulig, det tager bare længere tid at brute-force.

Jeg bruger personligt en lidt sær blanding:
Jeg finder SHA1 af passwordet, og laver derefter en kryptering af SHA1 strengen der får strengen stadig til at ligne en SHA1 hash. Hvis hackeren så skulle få adgang til hashene, ville han ikke kunne brute-force det kodeord, da det skal decryptes med min (forholdsvis) simple algoritme.

generelt er man forholdsvis sikker, hvis man skriver sin egen hashing algoritme, er nærig med den, og kun bruger den ét sted. Personen skal være forholdsvis dygtig til kryptografi for at knække den, og som regel har man jo bare sat et script til at køre de stjålne hashes igennem et rainbow table, og bruger næppe tid på at sidde manuelt og deciphrere hvert kodeord. Men at camuflere det som en sha1 streng er faktisk en rigtig god idé.

Morten: Så er det jo også sikkerhed du er ude efter, og så holder vores posts jo stik.

generelt er man forholdsvis sikker, hvis man skriver sin egen hashing algoritme

Ja, hvis man har en universitetsgrad i kryptografi og en helvedes masse års erfaring, og viser resultatet frem til offentlig skue.

Nej, hashing algoritmer såvel som andre kryptografiske algoritmer er bedst overladt til eksperterne.

generelt er man forholdsvis sikker, hvis man skriver sin egen hashing algoritme

Ja, hvis man har en universitetsgrad i kryptografi og en helvedes masse års erfaring, og viser resultatet frem til offentlig skue.

Nej, hashing algoritmer såvel som andre kryptografiske algoritmer er bedst overladt til eksperterne.

Ja, hvis man stå over for en rigtig hacker er det rigtigt! Men hvad hvis det er en der bare prøver at bruteforce? Så er man jo egentlig sikret..?

generelt er man forholdsvis sikker, hvis man skriver sin egen hashing algoritme

Ja, hvis man har en universitetsgrad i kryptografi og en helvedes masse års erfaring, og viser resultatet frem til offentlig skue.

Nej, hashing algoritmer såvel som andre kryptografiske algoritmer er bedst overladt til eksperterne.

Ja, hvis man stå over for en rigtig hacker er det rigtigt! Men hvad hvis det er en der bare prøver at bruteforce? Så er man jo egentlig sikret..?

Nej. For alle hashing algoritmer giver kollisioner. En dårligt designet hashing algoritme giver mange kollisioner, så bruteforce bliver meget nemmere.

Men i det hele taget...hvorfor lave sin egen, når der sha ligger derude klar til brug ?

Og selvom md5 siges at være usikker, så tvivler jeg stærkt på, at du (eller jeg for den sags skyld) kan lave noget, som bare tilnærmer sig dens sikkerhed og kvalitet.

Det giver ingen mening at validere noget som helst på klient-siden, da det er alt for let at opsnuse, selvfølgelig sker der på serveren? Og jeg har aldrig sagt noget om at bruteforce på klienten. Og jo, hvis man nu har fået fat i hashene, ved hjælp af en SQL injection, så kan det ikke hackes så let, som forklaret i forrige post.

http://en.wikipedia.org/wiki/Security_through_obscurity