1. घर
  2. सवाल और जवाब
  3. MD5 और SHA1

MD5 और SHA1

2013-05-23 9 views
6

कितना सुरक्षित है हे, केवल एक साधारण प्रश्न है, क्योंकि मैं हैश फ़ंक्शंस पर थोड़ा और समझने की कोशिश करता हूं, मुझे पता है कि वे कैसे काम करते हैं और वे क्या करते हैं लेकिन वे कितने सुरक्षित हैं?MD5 और SHA1

मैं एक साधारण उत्तर की सराहना करता हूं लिंक नहीं, क्योंकि मुझे उन्हें कभी भी उपयोगी नहीं लगता है।

स्रोत

2013-05-23 user2160949

उत्तर

22

आजकल तकनीक के साथ, दोनों cracked हो सकते हैं। hash dictionaries भी हैं जो कम स्ट्रिंग के लिए हैश का अर्थ ढूंढने में सहायता करते हैं।

यदि वे सुरक्षित हैं या नहीं, तो आप इस बात पर निर्भर करते हैं कि आप क्या रक्षा करना चाहते हैं। यदि आप एक ऑनलाइन बैंकिंग प्रणाली बना रहे हैं, तो उनकी बिल्कुल अनुशंसा नहीं की जाती है (इस पर निर्भर करता है कि ऑनलाइन बैंकिंग सिस्टम में वे कहां उपयोग करते हैं)। यदि आप उन्हें केवल ऑनलाइन उपयोगकर्ता पासवर्ड हैशिंग के लिए लागू करते हैं, उदाहरण के लिए, यह भी इस पर निर्भर करता है: क्या आप क्रैकिंग के लायक वेबसाइट हैं, आपके पास कितने उपयोगकर्ता हैं, आदि

एक सामान्य सलाह, पहले सुरक्षा के स्तर का अध्ययन करना है आप परिदृश्य में हासिल करना चाहते हैं और यह तय करना चाहते हैं कि आप किस तकनीक का उपयोग करते हैं (इस मामले में हैशिंग)। कोई 100% सुरक्षा भी नहीं है। साथ ही एक सुरक्षा मुद्दों में बहुत अधिक समय निवेश न करें और उन लोगों को अनदेखा करें जो स्पष्ट या तकनीकी (मानव त्रुटियां, अस्पष्टता, मानव इंजीनियरिंग द्वारा सुरक्षा) नहीं हो सकते हैं।

इस की जाँच करें:

  1. एक छोटा सा शब्द here के लिए हैश उत्पन्न करते हैं। उदाहरण के लिए, password में MD5 हैश है: 5f4dcc3b5aa765d61d8327deb882cf99
  2. अब here पर जाएं और टेक्स्ट के लिए वापस पूछें।

उपर्युक्त उदाहरण उन्हें क्रैक करने के लिए संभवतः कई (शब्दकोश हमले) में से एक है। इसके अलावा प्रत्येक सुरक्षा एल्गोरिदम के विकिपीडिया लेख आपको कमजोरियों की एक सूची देते हैं।

भी देखें:

साइड नोट

कभी देना वेबसाइटों (कोई वास्तविक पासवर्ड है कि आप के लिए एक हैश उत्पन्न स्थिति में आप इसे कहीं जरूरत परीक्षण या अन्य कारणों के लिए)। हमेशा परीक्षण पासवर्ड का उपयोग करें, या अपनी स्थानीय मशीन पर हैश उत्पन्न करें। हैश डेटाबेस (हैकर या नहीं) बनाने वाले लोग हैंश को पकड़ने के लिए ऑनलाइन हैश टूल भी प्रदान करते हैं।

स्रोत

2013-05-23 12:30:54

+0

आपको बहुत उपयोगी धन्यवाद – user2160949

+0

यदि आपको यह उपयोगी लगता है, तो इसे वोट दें! मेरी प्रतिष्ठा के लिए नहीं (केवल), लेकिन उन लोगों के लिए जिनके पास एक ही सवाल है। –

0

यहां एमडी 5 और एसएचए 1 के बीच तुलना है। आप एक स्पष्ट विचार प्राप्त कर सकते हैं कि कौन सा बेहतर है।

enter image description here

स्रोत

2016-05-15 06:12:17

+0

पूर्णता के लिए, एसएचए -1 पर पहले से ही 'सफल हमला' है, उस Google में एक ही हैश उत्पन्न करने वाले दो अलग-अलग संदेश मिले। एमडी 5 असुरक्षित के रूप में हो सकता है। यदि आप कर सकते हैं, तो इसका उपयोग न करें, लेकिन SHA-512 या अन्य सुरक्षित हैश फ़ंक्शंस पर जाएं। – Ordoshsen

0

जब हैश सुरक्षा पर चर्चा बनाम जानवर बल हम खाते में अधिक कुछ नहीं लेना चाहिए?

सबसे पहले, विश्वसनीय क्षेत्र में संग्रहीत md5 obfuscated डेटा है या नहीं। दूसरे शब्दों में, क्या हम अपने डीबी व्यवस्थापक पर भरोसा करते हैं कि डेटाबेस से उपयोगकर्ता पासवर्ड पढ़ने की कोशिश न करें और ब्रूट फोर्स उन्हें उलट दें। इसे कुछ सुरक्षा प्रक्रियाओं के माध्यम से विश्वसनीय या तकनीकी रूप से दिया जा सकता है (डीबी व्यवस्थापक को उस पासवर्ड तक पहुंच नहीं हो सकती है जो पासवर्ड हैश स्टोर करता है, यह केवल सुरक्षा अधिकारी के लिए सुलभ हो सकता है)।

किसी अन्य व्यक्ति को लॉगिन की संभावना है + पासवर्ड हैश जोड़ी क्लाइंट या क्लाइंट-सर्वर लेनदेन से अपहरण कर रहा है। यदि ग्राहक में कोई ट्रोजन घोड़ा नहीं है और क्लाइंट और सर्वर के बीच संचार टीएलएस-सुरक्षित है, तो जोड़ी मैन-इन-द-बीच हमलों से सुरक्षित होनी चाहिए।

हमलावर के लिए क्या बचा है (सोशल इंजीनियरिंग, एक्सएसएस और होस्टिंग सुरक्षा ब्रेक के अलावा) लॉगऑन सर्वर पर जेनरेट किए गए अनुरोधों की संख्या भेजकर देखें कि कोई सफल है या नहीं। दोनों सफल और असफल प्रवेश के बाद

  • कुछ यादृच्छिक अंतराल समय से पहले सेवा जानवर बल प्रक्रिया
  • प्रवेश प्रक्रिया को धीमा करने के एक ही आईपी और से समानांतर लॉगिन अनुरोध कतार सकता है प्रतिक्रिया करता है हो सकता है: यह भी नियंत्रित किया जा सकता एक ही लॉगिन नाम के साथ समानांतर लॉगिन (ऊपर शासन लागू करने के लिए)
  • वहाँ असफल लॉगिन के लिए लागू किया सीमा के बाद यह पार हो गई है खाता लॉक है और सुरक्षा चेतावनी

शुरू की है मेरा मानना ​​है कि जब हो सकता है उपरोक्त नियम लागू किए गए हैं md5 हैश पर्याप्त सुरक्षित है। असल में यह सादा पासवर्ड के समान ही सुरक्षित है :) अगर हम मानते हैं कि हमारा एमडी 5 हैश सुरक्षित है तो हम इसे सुलझाने के लिए पासवर्ड छोड़ सकते हैं। मोड़ आजकल एमडी 5 का कोई उपयोग नहीं है (पासवर्ड obfuscating के मामले में)। क्या करना चाहिए इसे विश्वसनीय क्षेत्र में भंडारण में सादा छोड़ दें या विश्वसनीय क्षेत्र को प्रबंधित नहीं होने पर कुछ मजबूत टूल (जैसे SHA) का उपयोग करें। और मेरी राय में भरोसेमंद जोन अभी भी सर्वर (होस्टिंग सेवा) सुरक्षा ब्रेक के जोखिम में है, इसलिए एसएए (या बेहतर) के साथ पासवर्ड को आसानी से खराब करने का कोई फर्क नहीं पड़ता :) यह पासवर्ड को सख्त करने के लिए महंगा नहीं होना चाहिए और यह कुछ लाभ लाता है (जोखिम कम करता है) इसलिए मेरी सलाह कभी भी इस चर्चा पर फिर से विचार नहीं करना है।

अभी भी एसएचए हैशिंग के साथ सभी बोले गए सुरक्षा नियमों को लागू किया जाना चाहिए। विशेष रूप से टीएलएस जो समझौता लॉगिन + पासवर्ड जोड़ी को रोकता है (कोई फर्क नहीं पड़ता कि पासवर्ड सादा भेजा गया है या एमडी 5 या शा के साथ धोया गया है, यह सफल लॉगिन सक्षम कर सकता है)। लॉगिन प्रयासों की निगरानी की जानी चाहिए। भले ही हम मानते हैं कि हमारी साइट क्रूर-बल-सबूत है, यह जानना अच्छा है कि कोई सुरक्षा को तोड़ने की कोशिश कर रहा है।

स्रोत

2016-10-27 06:12:34

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे