Czy kodowanie md5 jest wymagane?


(Szy1sw) #1

Witam, mam pytanko: czy kodowanie md5 jest wymagane w stronie internetowej czy można go nie robić?


(adpawl) #2

jeżeli nie potrzebujesz np. systemu logowania, to nie ma potrzeby stosowania md5 czy innego hasha.

Jeżeli potrzebujesz, to w zależności od wymagań korzystasz z hasha - najlepiej posolonego, czy też szyfrowania np. AES jeśli kodowanie ma być odwracalne.


(Szy1sw) #3

chodziło mi raczej o to czy muszę zastosować kodowanie md5 w stronach z logowaniem rejestracją itp czy mogę je wyłączyć aby mieć wgląd do haseł


(mktos) #4

Nie ma odgórnego wymogu hashowania haseł (np. prawnego), ale jest to dobra praktyka - trzymanie haseł w czystym tekście to zła praktyka, bo wiele osób używa takiego samego hasła do wielu serwisów internetowych, więc gdy pozna się jedno…

Pojawia się kwestia zaufania - uważam, że jeżeli chcesz mieć wgląd do haseł, to powinieneś napisać o tym w jakimś regulaminie czy zasadach korzystania ze strony. A ja mam pełne prawo stwierdzić, że coś jest nie tak i nie korzystać z takiej aplikacji.

A w razie “wycieku” (atak na serwis, bazę danych, cokolwiek) warto natychmiast użytkowników poinformować, że do tego doszło - zwłaszcza w przypadku haseł zapisanych czystym tekstem.


(R@z0r) #5

Ale zdajesz sobie sprawę, że hasła w md5 bez kontaktów w pentagonie nie odczytasz? Mylisz chyba krzaki z kodowaniem.


(Drobok) #6

Wszystko zależy od farta. Bez soli jest duże prawdopodobieństwo odczytania takich haseł. Widziałem na necie tablice md5 mające ponad 2tera. Był jakiś serwer generujący te tablicę (to było ponad rok temu). Pewnie teraz są jeszcze większe :slight_smile:

Trza użyć soli :slight_smile: A co do twojego serwisu, robisz se reklamę :slight_smile:


(soanvig) #7

md5 na obecne możliwości komputerów (nie wspominając o możliwości wykupieniu mocy obliczeniowej np. u Google) jest za słabe (nie wspominając że md5 jest stosunkowo bardzo podatne na kolizje). Teraz to sha256 lub sha512