29.06.2015, 02:05
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от strelok20094
↑
смысл в том что ты генирируешь пароль
обычный md5 без соли md5(pass);
с солью md5(pass,salt);
Так вот преположим мы знаем что сайт использует 1 вариант, а значит мы можем спокойно брутить\гуглить этот md5, либо заменить на свой. Благодаря тому что хеш без соли авторизоваться у нас получится тк при авторизации выполняется тот же метод шифрования после чего идет сверка. Во 2 же варианте не проканает если мы не знаем соль, тк генерируя обычный мд5(без соли) и заменяя его в базе он не будет совпадать при проверки авторизации тк соли то у нас нету, а значит и хеш совсем другой.
если у всех одинаковая соль, скорость подбора увеличивается в N число раз. чтобы узнать эту соль, достаточно зарегистрироваться с простым паролем и просто брутфорсить соль, а не пароль. смысл тогда хранить ее в файле, если можно всегда узнать?
Сообщение от avin
↑
Обычно хеши солят спец-ключом который указан в конфиге.
я говорю об этом
Сообщение от avin
↑
В серьезных системах обычно так.
как раз в "серьезных" системах (xf, vb, ipb) соль и хранится в бд.
|
|
|