- PVSM.RU - https://www.pvsm.ru -
Автор md5crypt Пол-Хеннинг Камп (Poul-Henning Kamp) опубликовал на персональном сайте призыв [1] ко всем разработчикам прекратить использовать этот алгоритм для шифрования (скремблирования) паролей.
Камп говорит, что для своего времени md5crypt был достаточно надёжной защитой для паролей, но с момента его выхода в 1995 году прошло очень много времени. Последние тесты показывают, что на коммерчески доступном GPU можно перебирать варианты со скоростью 1 миллион в секунду, то есть MD5 сейчас уязвим перед брутфорсом точно в той же степени, в какой был уязвим основанный на DES скремблер crypt в 1995 году. Любой пароль из 8 символов можно взломать за пару дней.
«Как автор md5crypt, я умоляю всех не откладывая перейти на более надёжный скремблер паролей», — гвоорит Пол-Хеннинг Камп.
Камп не называет конкретно, что выбрать вместо md5crypt. Он говорит, что не является видным специалистом по криптографии и не намерен писать новую программу для шифрования паролей. Однако, может дать пару рекомендаций. Во-первых, на самом лучшем GPU программный алгоритм должен срабатывать не быстрее чем за 0,1 секунды.
Во-вторых, должен быть реализован некий параметр для окружения, чтобы сложность и время скремблирования могла быть впоследствии увеличена администратором.
Алгоритм должен быть основан на повторяемых итерациях с данными, задействуя несколько сложных односторонних хеш-функций — MD5, SHA1, SHA2, Blowfish и так далее. Камп говорит, что можно использовать их все, лишь бы «высосать» максимальное количество аппаратных ресурсов у взломщика.
Любой крупный веб-сайт с количеством пользователей более 50 тыс., считает Камп, должен спроектировать или сконфигурировать свой уникальный алгоритм, состоящий из стандартных хеш-функций, чтобы злоумышленникам приходилось оптимизировать свои техники для каждого сайта.
Впрочем, с последней рекомендацией можно поспорить. Известный криптограф Брюс Шнайер в книге «Секреты и ложь» пишет: «Любой, кто создает собственный образец шифрования, — либо гений, либо глупец». Учитывая количество веб-сайтов в мире, сложно представить такое количество гениев.
Автор: alizar
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/hesh-funktsiya/9171
Ссылки в тексте:
[1] призыв: http://phk.freebsd.dk/sagas/md5crypt_eol.html
Нажмите здесь для печати.