Comments on: SHA-1 net zo kwetsbaar als MD5 http://www.scriptorama.nl/algemeen/sha-1-net-zo-kwetsbaar-als-md5 Webdevelopment explored Wed, 08 Feb 2012 10:20:11 +0000 http://wordpress.org/?v=2.7 hourly 1 By: Tri Pham http://www.scriptorama.nl/algemeen/sha-1-net-zo-kwetsbaar-als-md5/comment-page-1#comment-593 Tri Pham Tue, 29 Aug 2006 23:59:23 +0000 http://www.scriptorama.nl/algemeen/sha-1-net-zo-kwetsbaar-als-md5#comment-593 Ruud, de voorbeelden die jij aangeeft zijn inderdaad 'makkelijk' op te lossen. Er zijn ook situaties waar de hashing + salting etc niet mogelijk is, denk bijvoorbeeld aan authenticiteit van bestanden/certificaten/keys. Dan is het toch wel ernstig. Maar ik ben het met je eens, dit zal weinig effect hebben op brute force logins. Ruud, de voorbeelden die jij aangeeft zijn inderdaad 'makkelijk' op te lossen. Er zijn ook situaties waar de hashing + salting etc niet mogelijk is, denk bijvoorbeeld aan authenticiteit van bestanden/certificaten/keys. Dan is het toch wel ernstig.

Maar ik ben het met je eens, dit zal weinig effect hebben op brute force logins.

]]> By: Ruud http://www.scriptorama.nl/algemeen/sha-1-net-zo-kwetsbaar-als-md5/comment-page-1#comment-590 Ruud Tue, 29 Aug 2006 09:34:51 +0000 http://www.scriptorama.nl/algemeen/sha-1-net-zo-kwetsbaar-als-md5#comment-590 Ik vind dit zo'n onzin. Men ziet overal spoken maar ondertussen kun je nimmer een collision forceren met iets anders dan toeval: het blijft namelijk gissen. MD5 is wat ik altijd gebruikt heb en MD5 is wat ik ook voorlopig zal blijven gebruiken. Er zijn voldoende technieken of handigheidjes om risico's in te dammen. Zoals de blogpost al aangeeft: slechts enkele pogingen toestaan binnen een bepaald tijdsspan. Daarnaast worden de wachtwoorden die losgelaten worden op een inlogformuliertje dikwijls samengesteld uit lijsten met bestaande woorden. Het 'salten' van wachtwoorden is een zeer geschikte oplossing om dit risico in te dammen. Ik vind dit zo'n onzin. Men ziet overal spoken maar ondertussen kun je nimmer een collision forceren met iets anders dan toeval: het blijft namelijk gissen.
MD5 is wat ik altijd gebruikt heb en MD5 is wat ik ook voorlopig zal blijven gebruiken.

Er zijn voldoende technieken of handigheidjes om risico's in te dammen. Zoals de blogpost al aangeeft: slechts enkele pogingen toestaan binnen een bepaald tijdsspan.
Daarnaast worden de wachtwoorden die losgelaten worden op een inlogformuliertje dikwijls samengesteld uit lijsten met bestaande woorden. Het 'salten' van wachtwoorden is een zeer geschikte oplossing om dit risico in te dammen.

]]>