• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Algorytm SHA-1

VPS Starter Arubacloud
0 głosów
231 wizyt
pytanie zadane 16 sierpnia 2017 w Bezpieczeństwo, hacking przez b00ny Mądrala (6,050 p.)

Witam, na wikipedii wyczytałem coś takiego: 

Algorytm SHA-1 nie powinien być używany w nowych aplikacjach

Dlaczego? Czy MD5/crc32 będzie lepszym zamiennikiem? 
Z góry dziękuję za odpowiedzi, pozdrawiam.

2 odpowiedzi

+1 głos
odpowiedź 16 sierpnia 2017 przez Comandeer Guru (599,730 p.)
wybrane 16 sierpnia 2017 przez b00ny
 
Najlepsza

Czy MD5/crc32 będzie lepszym zamiennikiem? 

 Tak, dla hakerów.

Problem polega na tym, że SHA-1 czy MD5 są bardzo szybkie do obliczania i można bardzo łatwo znaleźć kolizje z istniejącymi hashami. Dzięki czemu tego typu algorytmy są bardzo łatwe do złamania brute-forcem (zwłaszcza przy wykorzystaniu techniki rainbow tables).

Dlatego do haseł wypada używać wolnych alogrytmów, dodatkowo z solą. A że to trudny temat, to do większości języków znajdziesz gotowe biblioteki, które pozwolą Ci korzystać np. z bcrypt czy PBKDF2 (nowsze z Argon2). W PHP od tego jest np. password_hash.

komentarz 16 sierpnia 2017 przez CzikaCarry Szeryf (75,340 p.)
Tęczowych tablic używa się np. gdy ukradnie się bazę danych z zahashowanymi hasłami, tęczowe tablice pomogą raczej tylko przy hasłach typu qwerty1234 czy donald1, w reszcie przypadków bardziej opłacalny będzie bruteforce (no chyba, że wykombinują sobie tęczową tablicę o rozmiarze 50TB, wygrają ją na 2 nośniki NVMe spięte w RAID :D)
komentarz 16 sierpnia 2017 przez Comandeer Guru (599,730 p.)
Niemniej proste hasła i tak zazwyczaj stanowią jakieś 10-25% całej bazy – więc tak czy inaczej jest to łakomy kąsek ;)

Poza tym, jak już pisałem, to szybki algorytm, więc brute-force jest relatywnie łatwy do wykonania. Zwłaszcza jak zaprzęgniemy szybki sprzęt, który w czasach chmur obliczeniowych do wynajęcia jest tańszy niż kiedykolwiek.
komentarz 16 sierpnia 2017 przez CzikaCarry Szeryf (75,340 p.)
O ile dobrze pamiętam to można było któryś superkomputer z top50 wynająć za ileś tam dolarów amerykańskich za godzinę :)
0 głosów
odpowiedź 16 sierpnia 2017 przez Ehlert Ekspert (212,630 p.)

2004 zgłoszono udane ataki na funkcje skrótu mające strukturę podobną do SHA-1, co podniosło kwestię długotrwałego bezpieczeństwa SHA-1. Pomiędzy rokiem 2005 a 2008 opublikowano szereg ataków zarówno na uproszczoną wersję SHA-1 jak i na pełną. Najlepszy z tych ataków wymaga jedynie około 263 operacji funkcji kompresującej (w porównaniu do 280 metodą brute-force). NIST ogłosił, że do 2010 zaprzestanie stosowania SHA-1 na rzecz różnych wariantów SHA-2

~Wikipedia 

Poza tym jest już sha-3.

Podobne pytania

0 głosów
1 odpowiedź 251 wizyt
pytanie zadane 16 sierpnia 2017 w Bezpieczeństwo, hacking przez Darek554 Użytkownik (980 p.)
0 głosów
2 odpowiedzi 157 wizyt
0 głosów
1 odpowiedź 231 wizyt
pytanie zadane 16 maja 2016 w Algorytmy przez aTomek Początkujący (250 p.)

92,452 zapytań

141,262 odpowiedzi

319,085 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...