Il problema dell'hash delle password e l'uso delle tabelle arcobaleno dipendono dalla sicurezza di un server Web sfruttato attraverso una debolezza sottostante.
Innanzitutto, tutti questi siti Web pretendono di offrire un semplice test per vedere se la tua password è sicura ... Ummm, beh, permette di guardare questi siti come phishing e tutte le persone che stanno facendo il rollup su questi siti stanno dando da mangiare a un tavolo arcobaleno . Questa è una parte del problema.
Al secondo posto ci sono persone che usano servizi di web hosting dove l'oggetto è di incassare denaro e dimenticare la sicurezza del server web, questi host dovrebbero essere messi contro il muro e sparati a IMHO, parte della sicurezza di un login utente viene da la sicurezza di un server web e le tecnologie sottostanti aggiornate per impedire l'utilizzo di exploit noti.
Il terzo è che una volta che le persone entrano nelle loro teste spesse che mentre MD5 non è resistente alla collisione o preferisco il più robusto possibile, è ancora difficile per un account utente essere violato a meno che non si abbia un host web in esecuzione un sistema sfruttabile, la codifica Web non è robusta e ti esponi utilizzando un sito che rivendica la sicurezza della tua password.
Per gran parte MD5 + un valore Salt è una sicurezza adeguata per un accesso utente su un forum Web a condizione che il sistema e il software menzionati in precedenza non siano utilizzabili. Una volta che hai un sistema che è stato sfruttato per un punto debole, l'esecuzione di una query per i noti valori hash che non utilizzano un sistema di salatura esporrà un quarto punto debole ... l'utente finale.
Il quarto è l'utente finale, la tua sicurezza web è in definitiva strong quanto il link più debole e per molti vedranno l'utente finale come tale e gli amministratori devono ricordare di essere utenti finali di un sistema e sono ugualmente vulnerabili a compromettere la sicurezza di un sistema utilizzando programmi di programmazione o software scarsamente spezzati, scarsa sicurezza della password e anche il mancato cambio di accesso ADMIN o l'utilizzo di software che ancora oggi insiste nell'avere il nome di accesso amministratore come amministratore e che utilizza anche account super utente .
Quindi non c'è bisogno di dirlo, quindi lo dirò comunque, MD5 non è incrinato, è stato ideato in retromarcia da utenti deboli, software debole e incapacità delle persone di comprendere una tecnologia. Se MD5 è incrinato, anche SHA e AES e così via ...