Melchett skriver "Det är alltför vanligt att webb (och andra) program använder MD5, SHA1, eller SHA-256 till hash användare lösenord och mer upplyst utvecklare även salt lösenordet. Och genom åren har jag sett heta diskussioner om hur salt värden bör tas fram och om hur länge de ska vara. tyvärr i de flesta fall människor förbise det faktum att MD och SHA familjer hash är konstruerade för numerisk hastighet, och kvaliteten på din salt värderingar spelar egentligen ingen roll när en angripare har fått full kontroll, precis som de med rootkit.com. När en angripare har root-access, kommer de att få dina lösenord, salt och den kod som du använder för att verifiera lösenord. "
Läs mer i denna historia på Slashdot.
Inga kommentarer:
Skicka en kommentar