Posso utilizzare Honey Encryption al posto di MD5?

0

L'algoritmo di hashing MD5 è una funzione crittografica a senso unico che accetta un messaggio di qualsiasi lunghezza come input e restituisce come output un valore di digest a lunghezza fissa da utilizzare per l'autenticazione del messaggio originale. La funzione di hash MD5 è stata originariamente progettata per utilizzare come algoritmo di hash crittografico sicuro per l'autenticazione delle firme digitali.

L'algoritmo Honey Encryption può darci la funzionalità di proteggere i dati oltre a renderci consapevoli di eventuali minacce nel tempo.

Entrambi questi sono un tipo di tecnica di crittografia. Quindi è possibile utilizzare la crittografia Honey al posto di MD5?

    
posta Sham 22.05.2017 - 20:41
fonte

2 risposte

2

No, non direttamente. I concetti sono quasi diametralmente opposti, quindi è necessario creare un sistema completamente nuovo. Ma non dovresti nemmeno usare MD5. Per l'hashing delle password dovresti usare una lenta funzione hash con un fattore di lavoro variabile, come bcrypt, e per gli hash crittografici generali, una funzione più moderna e più strong come SHA-2.

    
risposta data 22.05.2017 - 21:04
fonte
2

Fammi indovinare, stai pensando che un servizio potrebbe utilizzare Honey Encryption al posto di un processo di hash salato (non necessariamente MD5) per archiviare le password degli utenti e offrire un ulteriore livello di protezione in caso di violazione dei dati. Se potesse funzionare per un singolo utente nel proprio gestore di password, potrebbe funzionare per tutti gli utenti di un sistema.

Questo è un errore logico.

Il motivo per cui vuoi crittografia in un gestore di password, è perché vuoi recuperare i dati. Quindi, sì, i metodi più potenti di crittografia e persino le tecniche di inganno possono essere una buona idea. Ma questo non è sicuro ha un semplice processo di hash e sale.

Si desidera un processo hash perché è più potente della crittografia e questa diventa un'opzione valida se non è necessario ripristinare i dati, come in un processo di verifica della password come parte dell'autenticazione. L'utente fornisce una password, l'hash e sale, quindi si confrontano con il valore memorizzato nel database delle password.

Quindi, se si sostituisce l'hashing con la crittografia (anche se ha caratteristiche di inganno), si riduce la forza del meccanismo di protezione dei dati. Rimanere con l'hashing corretto nel sistema di autenticazione, ma se questa idea di crittografia proposta funziona, utilizzalo per la memorizzazione della password personale.

    
risposta data 23.05.2017 - 08:42
fonte

Leggi altre domande sui tag