funzioni hash insicure

Naviga le tue risposte
-4

Una buona funzione di hash dovrebbe essere resistente alle collisioni. Nel 2004 è stato dimostrato che MD5 non è resistente alle collisioni. Pertanto, MD5 non è adatto per applicazioni come certificati SSL o firme digitali che si basano su questa proprietà per la sicurezza digitale. Oggi vediamo che questo metodo è ampiamente utilizzato nei siti e in molti dispositivi.

  • Qual è il motivo dell'utilizzo di questa funzione hash non sicura?

Modifica: qual è il vantaggio di MD5 rispetto ad altre funzioni di hash come SHA / 256 che le persone usano ancora questa funzione hash non sicura?

    
posta Meysam Ghahramani 19.01.2016 - 14:34
fonte

1 risposta

3

Motivi comuni che ho visto:

  • Materiale di apprendimento obsoleto / non sicuro: una grande quantità di libri / siti online che insegnano PHP insegnano ancora a usare MD5 non salato per le password invece di bcrypt, ecc. Ricordo di circa 201x una ricerca su google per "password php" restituito per lo più solo a tali tutorial.
  • Conoscenza obsoleta del programmatore: molti programmatori non mantengono aggiornate le proprie conoscenze sulla sicurezza e continuano a utilizzare ciò che hanno appreso.
  • Deve solo funzionare / il programmatore non si preoccupa della sicurezza / non sa della sicurezza. Il programmatore ha generato hash di 2 stringhe diverse. Gli hash sembravano diversi. Gli hash sembravano diversi dalla stringa. Non ha visto un metodo diretto per convertire l'hash alla stringa originale. "ottenere funzioni e funzionalità della GUI funzionanti" è più importante per l'importazione
  • Lo stesso vale per le librerie (forse obsolete) utilizzate dal programmatore e il programmatore non ha controllato abbastanza o si è fidato della libreria per farlo bene.
  • migliore crittografia non supportata: il sistema / lingua / sistema di terze parti / ... non supporta una migliore crittografia
  • nessuno ci hackererà mai perché siamo troppo piccoli / irraggiungibili /...
  • una volta scritto e mai cambiato: in particolare connesso con il precedente e collegato con "cambiando questo costerà troppo / potrebbe introdurre problemi"
  • una versione più sicura non è stata specificata / pagata: molte aziende danno lavoro di programmazione agli appaltatori che subappaltano gli altri per il minor costo possibile. Il vero lavoro viene spesso svolto da programmatori inesperti / a buon mercato / ... che fanno solo il lavoro minimo richiesto

Spero che la maggior parte di queste ragioni andranno via nel prossimo futuro.

    
risposta data 19.01.2016 - 15:11
fonte

Leggi altre domande sui tag

Qual è il sistema operativo mobile più sicuro? Ubuntu? [chiuso] Server SSH più sicuro [chiuso]