Dato che Google ha trovato una collisione per l'algoritmo SHA-1, ciò implica che tutte le password che sono state sottoposte a hash con SHA-1 sono state interrotte?
(Si noti che questa domanda è principalmente per consentire ricerche in cerca di dettagli sulla custodia SHA-1 per restituire risultati sensati - vedere il duplicato per i dettagli)
Non più di quanto non lo fossero già. Il metodo di generazione della collisione dimostrata richiede la possibilità di modificare e inserire volumi relativamente grandi di dati, in entrambi i file in collisione. In altre parole, è possibile generare una coppia di file in collisione, ma non generare una collisione con un file arbitrario, utilizzando questo metodo specifico. In termini di password, ciò significa che, a meno che non si sia utilizzata una password fornita da un utente malintenzionato, che è lunga diversi kb, l'utente malintenzionato non sarebbe in grado di utilizzare la propria password (anche alcuni kb lunghi) per accedere al proprio account tramite una collisione hash. Ovviamente, in questo caso, potrebbero anche solo usare la password che ti hanno dato.
Tuttavia , tutte le password che sono state sottoposte a hash con SHA-1 dovrebbero essere considerate comunque memorizzate in modo non sicuro: hardware moderno significa che è possibile provare centinaia di migliaia di password potenziali, anche se salate, secondo. Gli algoritmi di hash progettati per la memorizzazione delle password rallentano notevolmente questo processo di test, il che rende anche molto più lento il rilevamento di potenziali collisioni.