הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post - טיפ קטן בקשר ל-md5

B-Nary · 08-10-05, 00:47

אם אתם שומרים ערך מוצפן כ-MD5, זה מאוד קל לפצח אותו במקרים מסוימים עם שיטות כמו: Rainbow, L0phtCrack וכו'.
אז במקום לעשות לדוגמה

קוד:

md5($pass)

תעשו

קוד:

md5(md5($pass))

כך גם אם מישהו יפצח את הערך שנשמר במסד, (וזה לוקח הרבה, הרבה זמן - יש שם 16 תוים!)
הוא יקבל רק עוד מחרוזת md5 לפצח.

אתם לא תרגישו בהבדל בזמן הטעינה של העמוד. מבטיח

וד"א, עוד טיפ:
לכל יוזר שאתם מכניסים למסד תצרו מחרוזת אקראית temp לדוגמה. את הסיסמה במסד תשמרו ככה:

קוד:

md5(md5($pass . $temp))

ואז גם אם מישהו מפצח את ה-md5 האחרון (אין לזה סיכוי אבל עדיין), מה שהוא יקבל זה צירוף של הסיסמה ושל temp, וזה יקשה עליו.

08-10-05, 00:47	# 1
B-Nary משתמש חדש מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 33 הודעות: 9	טיפ קטן בקשר ל-md5 אם אתם שומרים ערך מוצפן כ-MD5, זה מאוד קל לפצח אותו במקרים מסוימים עם שיטות כמו: Rainbow, L0phtCrack וכו'. אז במקום לעשות לדוגמה קוד: md5($pass) תעשו קוד: md5(md5($pass)) כך גם אם מישהו יפצח את הערך שנשמר במסד, (וזה לוקח הרבה, הרבה זמן - יש שם 16 תוים!) הוא יקבל רק עוד מחרוזת md5 לפצח. אתם לא תרגישו בהבדל בזמן הטעינה של העמוד. מבטיח וד"א, עוד טיפ: לכל יוזר שאתם מכניסים למסד תצרו מחרוזת אקראית temp לדוגמה. את הסיסמה במסד תשמרו ככה: קוד: md5(md5($pass . $temp)) ואז גם אם מישהו מפצח את ה-md5 האחרון (אין לזה סיכוי אבל עדיין), מה שהוא יקבל זה צירוף של הסיסמה ושל temp, וזה יקשה עליו. Last edited by B-Nary; 08-10-05 at 00:51..