Minha opinião sobre o artigo abaixo
http://www.holodek.com.br/holodek/blog.php?cod_5==0kMOFHVR1TP&entra_no_web1==UmVGl1VR1TP
Sim, MD5, SHA-1, CRC16, CRC32 (Cyclic redundancy check), são algoritmos de hash.
Usados principalmente para verificar a integridade de arquivos baixados, integridade de dados, etc.
É claro que se você tem 32 bytes (caracteres) para servir como assinatura de infinitos bytes, uma hora ou outra você terá informações diferentes porém com o mesmo hash (assinatura).
O problema não é a pessoa digitar uma senha diferente e coincidir com o hash, mas sim que a senha pode ser descoberta se utilizando de força bruta caso a senha seja fraca, e mesmo jogando sal na senha, ou seja, usando salt que é uma técnica de concatenar mais informações a senha original, é possível contornar, pois se o cracker invadiu o computador ele pode facilmente descompilar o software que salvou a senha e saber exatamente o salt que foi utilizado.
Então vem a pergunta, se o sistema já está comprometido e o cracker tem acesso a tudo, para que diabos ele quer quebrar a senha? Simples, além da senha fraca o sujeito provavelmente utiliza a mesma senha para tudo, então descobrindo a senha que usou no site de amiguinho secreto, você terá acesso a quase tudo, rede social, e-mail, etc.
Agora se usarmos um algoritmo como RSA mesmo que o cracker invada o sistema, ele não saberá a senha dos usuários, pois ele não tem a chave-privada. Mesmo 1000 usuários com a senha 12345 a informação gravada no banco de dados é diferente, pois a chave privada é diferente, ou seja, a informação criptografada é imune a força bruta. Isso não acontece com com algoritmos do tipo hash, por exemplo, o hash de 12345 em md5 sempre será 827ccb0eea8a706c4c34a16891f84e7b, deixando vulnerável a um ataque do tipo força bruta.
Faça você mesmo o teste vá nesses sites e veja o hash gerado pela senha 12345
http://www.miraclesalad.com/webtools/md5.php
https://www.md5hashgenerator.com/
https://passwordsgenerator.net/md5-hash-generator/
Nenhum comentário:
Postar um comentário