md5 vuneravel?

[raonibs 64]

Alguém aí pode me dizer qual é a minha senha MD5 que está salva em meu banco de dados, e então descriptografá-la ?! rsrsrsrsr

 

Vocês não acham um pouco difícil de alguém invadir a aplicação de vocês, devido ao uso do MD5 ? Vocês levam apenas em consideração de que o MD5 é inseguro ? e os demais fatos ?

 

 

Vazamento de dados do banco é problema relativamente comum, vai muito além de tentar filtrar injeção slq. O fato de ninguém ter invadido seu servidor ou estar disposto a isso não significa que não exista alguém que possa fazer-lo .

 

Mesmo grandes empresas que fazem tudo como manda o figurino sofrem com o problema. Devemos estar preparados para esta situação, se ocorrer vazamento do seu bd o MD5 não vai cumprir a função há que se propõe: proteger a senha dos seus usuários.

[Enrico Pereira 299]

Usar um salt juntamente com um MD5 já é seguro. O problema é que com o passar do tempo os algorítimos de hashing se tornam cada vez mais defasados. Hoje em dia o bcrypt pode ser muito bom, mas daqui a 50 anos ele provavelmente não será.

 

Alaerte, como eu disse, MD5 é hashing, e não criptografia. Não existe um algorítimo possível de descoberta de hash, mas o MD5 já tem uma lista enorme de valores comuns e tem uma probabilidade de colisão maior do que a dos outros. Se você googlear "md5 collisions", você acha exemplos de colisões. Agora, faça o mesmo com "sha512 collisions", e verá que não há uma sequer, porque com a tecnologia atual é impraticável fazer algo como isso.

[erison 63]

podem dar um exemplo de bcrypt ? o que achei foi apenas crypt

 

no caso assim ?

hash('sha512','minha_senha');

[Enrico Pereira 299]

Já postaram um link: http://blog.thiagobelem.net/criptografando-senhas-no-php-usando-bcrypt-blowfish/

[raonibs 64]

 

podem dar um exemplo de bcrypt ? o que achei foi apenas crypt

 

no caso assim ?

hash('sha512','minha_senha');

 

bcrypt se refere ao método baseado no algorítimo Blowfish, ele não é uma função PHP .

 

A função que usamos para implement-lo é a crypt() . Detalhes no link que recomendamos.

[Alaerte Gabriel 662]

Vazamento de dados do banco é problema relativamente comum, vai muito além de tentar filtrar injeção slq. O fato de ninguém ter invadido seu servidor ou estar disposto a isso não significa que não exista alguém que possa fazer-lo .

 

Mesmo grandes empresas que fazem tudo como manda o figurino sofrem com o problema. Devemos estar preparados para esta situação, se ocorrer vazamento do seu bd o MD5 não vai cumprir a função há que se propõe: proteger a senha dos seus usuários.

 

...rsrsrs Claro companheiro, mais do que ninguém eu sei disso, só queria ver as respostas. Porém a probabilidade de alguém descobrir a possível senha ou o hash dela é quase nula. Já se tratando de colisões, com certeza existe a possibilidade.

 

Usar um salt juntamente com um MD5 já é seguro. O problema é que com o passar do tempo os algorítimos de hashing se tornam cada vez mais defasados. Hoje em dia o bcrypt pode ser muito bom, mas daqui a 50 anos ele provavelmente não será.

 

Alaerte, como eu disse, MD5 é hashing, e não criptografia. Não existe um algorítimo possível de descoberta de hash, mas o MD5 já tem uma lista enorme de valores comuns e tem uma probabilidade de colisão maior do que a dos outros. Se você googlear "md5 collisions", você acha exemplos de colisões. Agora, faça o mesmo com "sha512 collisions", e verá que não há uma sequer, porque com a tecnologia atual é impraticável fazer algo como isso.

 

Troquei as bolas, utilizei o termo criptografia para o MD5, e não tem nada haver. Costume de falar a marvada palavra. :skull:

 

Bem pessoal, eu em particular, utilizo o md5 com o salt, já me satisfaz e eu nunca tive problema com esse tipo de dados. Enrico, tenho conhecimento das colisões do MD5, já li muito sobre. Por isso utilizo o salt.

[erison 63]

Já postaram um link: http://blog.thiagobelem.net/criptografando-senhas-no-php-usando-bcrypt-blowfish/

por isso que eu digo e vivendo e aprendendo, nunca sabemos de tudo, quando o cara falo que o salt poderia ser diferente e gerar uma criptografia diferente que esta no banco , e ainda sim reconhecer a senha original, não acreditei.

sendo assim posso colocar no banco sem medo os campos login e senha e uniques, por que a senha ex: 123456 com salt diferente não vai ser a mesma no banco de dados.

 

pessoal fico muito agradecido por todas as explicações de vocês, e quando liberar um tempinho aqui mudo as senhas de md5 para bcrypt.

 

eu abri esse tópico por que ja tive muita dor de cabeça no começo com segurança, sql injection uma das principais. quando vejo algo que pode vacilar intrusão em meus sistemas ou sites procuro logo tomar conhecimento.

 

muito agradecido por todos que ajudaram, so não do mais ponto positivos para vocês por que não da k :p

[hinom 5]

Se podemos dizer que MD5 é vulnerável devido a rainbowtables, então, todas as outras criptografias também são "falhas" pois também estão rodando em workstations da "deep web".

 

 

[off]

Uma técnica que quebra qualquer criptografia, com ou sem salt, chama-se "engenharia social".

[Enrico Pereira 299]

Engenharia social não conta, já que aí estamos falando de pessoas (prefiro não dar um sinônimo). O MD5 é mais vulnerável do que as outras é por causa da chance de colisão ser alta. Hashing é quebrado com probabilidade (birthday attack).

 

sql injection uma das principais

 

Isso daí não é nem erro de criança, é erro de bebê.

[erison 63]

Isso daí não é nem erro de criança, é erro de bebê.

verdade, mais no começo apenas engatinhamos.

[hinom 5]

#30 Sim.. obviamente, todavia,

 

em outros posts discute-se algo mais abrangente e geral no qual as criptografias são apenas uma pequena parte do contexto, a segurança.

 

O #29 está sob esse contexto.