Witam

Naczytałem się ostatnio o ułomnościach md5, sha1, tęczowych tablicach i tak dalej. Spłycając temat, to problem sprowadza się do uzyskania ciągu, który po przepuszczeniu przez funkcję skrótu da nam hash danego hasła. Nie musi to być oryginalne hasło, tylko hashe maja być identyczne. Wszystko fajnie, ale żeby złamać takie hasło wcześniej musze posiadać ów hash – czyli de facto włamać się np. do bazy danych. Jeśli już jestem w bazie to w jakim celu jeszcze hashe łamać? Można przecież wprowadzić zmiany bezpośrednio na bazie.

Pozdrawiam
Mrok

A co, jeśli hashe, które trzymasz w złamanej bazie danych są hasłami do innych kont/baz?

- można przechwycić hasło w inny sposób, niekoniecznie z bazy. Mogę np. podsłuchiwaniem bądź nawet jakimś js (musi być słabość skryptu na ataki XSS) przechwycić hash administratora - po złamaniu zalogować się i zdobyć inne. Później (najlepiej jak już uzyskam bazę użytkowników wraz z ich hashami i adresami stron www) następne strony (i nie tylko! - sporo ludzi używa jednego hasła np. do allegro) lecą jak domino Jak później wyjaśnić takim użytkownikom, że ich hasła wyciekły właśnie z Twojej strony?

Polecam pobaic sie SQL Injection
a jesli juz bedziesz mial hasha, to niektore skrypty do cookiesow lub w sesji dodaja nie hasl a hash wiec mysle ze to nic trudnego

Macie racje. Trochę wstyd, ale o tych mozliwościach nie pomyslalem
Dziekuje