forum.opennet.ru

Составление сообщения

Исходное сообщение

"Автор md5crypt подчеркнул небезопасность данного алгоритма и..."
Отправлено opennews, 09-Июн-12 13:57

Под впечатлением от утчеки (https://www.opennet.ru/opennews/art.shtml?num=34033) нескольких миллионов хэшей паролей пользователей социальной сети LinkedIn, Poul-Henning Kamp, объявил (http://phk.freebsd.dk/sagas/md5crypt_eol.html), что созданную им в 1995 году реализацию системы хэширования паролей md5crypt больше нельзя считать безопасной. Несмотря на то, что для привлечения большего внимания для проблемы создан CVE-идентификатор уязвимости (CVE-2012-3287), уведомление не связано с выявлением какой-то новой проблемы безопасности, а лишь указывает на потерю актуальности md5crypt (расширенный вариант MD5, более стойкий к подбору из-за более высокой требовательности к ресурсам при генерации хэша).

По словам автора md5crypt исчерпал себя как алгоритм хэширования паролей, так как современные инструменты подбора паролей, благодаря задействованию средств GPU-акселерации, могут восстановить любой восьмисимвольный пароль по хэшу за несколько дней. Похожая ситуация наблюдалась в 1995 году в отношении алгоритма DES. Так как во многих системах для хэширования паролей по умолчанию по прежнему используется md5crypt, Poul-Henning Kamp призвал пользователей и разработчиков ОС перейти по умолчанию на более стойкие алгоритмы, такие как SHA-512 и BLOWFISH.
URL: http://phk.freebsd.dk/sagas/md5crypt_eol.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=34057

Исходное сообщение
"Автор md5crypt подчеркнул небезопасность данного алгоритма и..." Отправлено opennews, 09-Июн-12 13:57
Под впечатлением от утчеки (https://www.opennet.ru/opennews/art.shtml?num=34033) нескольких миллионов хэшей паролей пользователей социальной сети LinkedIn, Poul-Henning Kamp, объявил (http://phk.freebsd.dk/sagas/md5crypt_eol.html), что созданную им в 1995 году реализацию системы хэширования паролей md5crypt больше нельзя считать безопасной. Несмотря на то, что для привлечения большего внимания для проблемы создан CVE-идентификатор уязвимости (CVE-2012-3287), уведомление не связано с выявлением какой-то новой проблемы безопасности, а лишь указывает на потерю актуальности md5crypt (расширенный вариант MD5, более стойкий к подбору из-за более высокой требовательности к ресурсам при генерации хэша). По словам автора md5crypt исчерпал себя как алгоритм хэширования паролей, так как современные инструменты подбора паролей, благодаря задействованию средств GPU-акселерации, могут восстановить любой восьмисимвольный пароль по хэшу за несколько дней. Похожая ситуация наблюдалась в 1995 году в отношении алгоритма DES. Так как во многих системах для хэширования паролей по умолчанию по прежнему используется md5crypt, Poul-Henning Kamp призвал пользователей и разработчиков ОС перейти по умолчанию на более стойкие алгоритмы, такие как SHA-512 и BLOWFISH. URL: http://phk.freebsd.dk/sagas/md5crypt_eol.html Новость: https://www.opennet.ru/opennews/art.shtml?num=34057

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Под впечатлением от утчеки (https://www.opennet.ru/opennews/art.shtml?num=34033) нескольких 
> миллионов хэшей паролей пользователей социальной сети LinkedIn, Poul-Henning Kamp, объявил 
> (http://phk.freebsd.dk/sagas/md5crypt_eol.html), что созданную им в 1995 году реализацию 
> системы хэширования паролей md5crypt больше нельзя считать безопасной. Несмотря на то, 
> что для привлечения большего внимания для проблемы создан CVE-идентификатор  уязвимости 
> (CVE-2012-3287), уведомление не связано с выявлением какой-то новой проблемы безопасности, 
> а лишь указывает на потерю актуальности md5crypt (расширенный вариант MD5, более 
> стойкий к подбору из-за более высокой требовательности к ресурсам при генерации 
> хэша).

> По словам автора md5crypt исчерпал себя как алгоритм хэширования паролей, так как 
> современные инструменты подбора паролей, благодаря  задействованию средств GPU-акселерации, 
> могут восстановить любой восьмисимвольный пароль по хэшу за несколько дней. Похожая 
> ситуация наблюдалась в 1995 году в отношении алгоритма DES. Так как 
> во многих системах для хэширования паролей по умолчанию по прежнему используется 
> md5crypt,  Poul-Henning Kamp призвал пользователей и разработчиков ОС перейти по 
> умолчанию на более стойкие алгоритмы, такие как SHA-512 и BLOWFISH.

> URL: http://phk.freebsd.dk/sagas/md5crypt_eol.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=34057

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру