Adler32 に頼るべきではないと聞きましたが、その理由をお聞きしたいと思います。
Adler32 のハッシュを信頼してはならないのはなぜですか? リバーシブルですか?それとも、実際のテキストを簡単に見ることができますか?
1796 次
2 に答える
1
ハッシュを「復号化」することはなく、ハッシュは「実際のテキスト」を隠しません。ハッシュではなく暗号化がそれを行います。しかし、Adler-32 を暗号化ハッシュとして使用できるということであれば、絶対に使用できません。暗号化ハッシュの要件は、予測可能なハードウェアと数学が特定のハッシュを使用してメッセージを構築することが非常に困難であり、事実上不可能であることです。Adler-32 でこれを行うのは非常に簡単で、実際、32 ビット ハッシュでは簡単です。32 ビットでは十分ではありません。
于 2016-10-31T14:06:12.593 に答える
0
Adler32 をパスワードハッシュに使用することは絶対にできません。
短い入力の場合、8 ビット CRC からかなりの情報を得ることができます。通常、暗号化ハッシュの場合、入力データの 1 ビットの変更により、出力ビットの 50% が変更されます。
これは衝突を避けるようには設計されておらず、CRC です。多くのハッシュ関数は、競合が問題にならない他の目的のために設計されています。たとえば、辞書の検索や、会員番号の最後の数桁を使用して保管箱全体でボトルをある程度均等に分配する「ボトル クラブ」の保管箱などです。 .
パスワードのセキュリティ:
ハッシュ関数を使用するだけでは十分ではなく、ソルトを追加するだけではセキュリティはほとんど改善されません。代わりに、約 100 ミリ秒の間、ランダムなソルトを使用して HMAC を iIterate し、ハッシュでソルトを保存します。PBKDF2、password_hash、Bcrypt、および同様の関数などの関数を使用します。要点は、攻撃者が力ずくでパスワードを見つけるのに多くの時間を費やさせることです。
ソルトを使用した SHA-512 が十分でない理由の 1 つは、ラップトップ (私の) が 1 秒あたり 750,000 を実行できることです。これは、使用頻度でソートされた 10,000,000 個のパスワードのリストに適用されます。スピアフィッシングでない限り、攻撃者はクラックされたパスワードの 90% で満足するでしょう。したがって、コンピューターの時間を 2 ミリ秒未満から 100 ミリ秒以上に延ばすと、攻撃者は 50,000 倍の時間を要し、おそらく次のサイトに移動します。
ユーザーを保護することは重要です。安全なパスワード方式を使用してください。
理由は次のとおりです。攻撃者があなたのサイトにアクセスし、MD5 パスワードを取得し、一般的なパスワードのリストを使ってブルート フォースを使用し、ユーザーのユーザー名とパスワードを取得します。ほとんどのユーザーはパスワードを再利用するため、攻撃者はこれを別のサイトで使用して、より機密性の高いデータにアクセスします。あなたはユーザーを危険にさらしただけです。注: 適切なハッカー レートは、1 秒あたり 10 億である可能性があります。攻撃者はあなたのサイトを気に入り、攻撃が成功したことにさえ気付かないでしょう。
于 2016-10-28T19:25:13.100 に答える