Melchett scrive "E 'fin troppo comune che il Web (e altre) applicazioni utilizzano MD5, SHA1, o SHA-256 per hash password degli utenti e sviluppatori più illuminato, anche il sale della password. E nel corso degli anni ho visto accese discussioni su quanto I valori di sale dovrebbe essere generato e su quanto tempo dovrebbero essere. Sfortunatamente nella maggior parte dei casi le persone trascurare il fatto che MD e le famiglie hash SHA sono progettati per velocità di calcolo, e la qualità dei vostri valori di sale non ha importanza quando un attaccante ha guadagnato il pieno controllo, come è successo con rootkit.com. Quando un attaccante ha accesso come root, che riceveranno le password, il sale, e il codice che si utilizza per verificare la password ".
Per saperne di più di questa storia a Slashdot.
Nessun commento:
Posta un commento