Ce qui est actuellement le plus sûr d'une façon algorithme de chiffrement?

Comme beaucoup le savent, un moyen de cryptage est un moyen pratique pour crypter les mots de passe utilisateur dans les bases de données. De cette façon, même l'administrateur de la base de données ne peut pas savoir un mot de passe utilisateur, mais il faut prendre un mot de passe deviner, de chiffrer avec le même algorithme, puis de comparer le résultat avec le mot de passe crypté dans la base de données. Cela signifie que le processus de trouver le mot de passe nécessite des quantités massives de suppositions et de beaucoup de puissance de traitement.

De voir que les ordinateurs toujours plus vite et que les mathématiciens sont toujours à l'élaboration de ces algorithmes, je me demande lequel est le plus sécurisé considérant moderne de la puissance de calcul et des techniques de chiffrement.

J'ai été en utilisant MD5 presque exclusivement depuis des années maintenant, et je me demandais si il y a quelque chose de plus que je devrais être en train de faire. Dois-je envisager un algorithme différent?

Une autre question: Combien de temps dois un domaine pour un mot de passe crypté? Je dois avouer que je sais pratiquement rien sur le chiffrement, mais je pars du principe qu'un hachage MD5 (par exemple) peut être plus longue, et serait sans doute prendre plus de puissance de traitement de la fissure. Ou est-ce la longueur du champ a pas d'importance, pour autant que le mot de passe chiffré correspond en premier lieu?

  • Les fonctions de hachage ne sont pas des fonctions de chiffrement. Les fonctions de chiffrement ont des fonctions inverses pour déchiffrer une valeur chiffrée pour obtenir la valeur d'origine. Mais hachages ne peuvent pas être déchiffrés. Il est seulement possible de trouver des collisions (valeurs d'entrée qui aboutissent à la même valeur de hachage).
  • De sortie à partir de n'importe quelle fonction de hachage/algorithme est toujours la même longueur. Pour le MD5 c'est toujours les 128 bits quelle que soit la longueur de l'entrée bits/octets/chaîne.
  • Ne vous inquiétez pas au sujet de la longueur du champ. Dans presque tous les cas, devinant les mots de passe et de hachage sera beaucoup plus rapide que de brute-forcer une collision, et 128 bits est assez grande pour résister à des attaques en force jusqu'à la mort thermique de l'Univers.
  • Pour vous tenir à jour sur les fonctions de hachage, découvrez la eHash Wiki, en particulier de la Fonction de Hachage Zoo ehash.iaik.tugraz.at/wiki/The_Hash_Function_Zoo.
InformationsquelleAutor Teekin | 2010-02-24
  1. 58

    Avertissement: Depuis ce post a été écrit en 2010, les Gpu ont été largement mis à la force brute des mots de passe. Prix modéré Gpu
    pouvez exécuter de dix milliards de MD5s par seconde. Cela signifie que même un
    complètement aléatoire alphanumérique de 8 caractères du mot de passe (62 possible
    caractères) peut être brute forcé dans les 6 heures. SHA-1 est seulement légèrement
    plus lent, il faudra un jour. Vos mots de passe utilisateur sont beaucoup plus faibles, et
    (même avec le salage) va tomber à un taux de milliers de mots de passe par
    de seconde en seconde. Les fonctions de hachage sont conçu pour être rapide. Vous ne voulez pas de cette
    pour les mots de passe. Utilisation scrypt, bcrypt, ou PBKDF-2.

    MD5 a été trouvé à être plus faible en 1996, et ne doit pas être utilisé plus pour les fins de. SHA-1 est couramment utilisée pour le remplacement, mais a des problèmes similaires. Le SHA-2 famille de fonctions de hachage sont les remplacement de l'algorithme SHA-1. Les membres de l'algorithme SHA-2 sont individuellement dénommés SHA-224, SHA-256, SHA-384 et SHA-512.

    À l'heure actuelle, plusieurs fonctions de hachage sont en compétition pour devenir SHA-3, la prochaine standardisé de chiffrement algorithme de hachage. Un gagnant sera choisi en 2012. Aucun de ces devrait être utilisé encore!

    Pour le hachage de mot de passe, vous pouvez également envisager d'utiliser quelque chose comme bcrypt. Il est conçu pour être suffisamment lente pour faire à grande échelle, des attaques de force brute infaisable. Vous pouvez régler la lenteur de vous-même, donc elle peut être plus lente lorsque les ordinateurs sont de plus en plus vite.

    Avertissement: bcrypt est basée sur un vieux deux-chemin algorithme de chiffrement Blowfish, pour mieux les alternatives existent aujourd'hui. Je ne pense pas que le hachage cryptographique propriétés de bcrypt sont complètement compris. Quelqu'un me corrige si je me trompe; je n'ai jamais trouvé une source fiable qui traite de bcrypt propriétés (autres que sa lenteur) à partir d'un point de vue cryptographique.

    Il peut être un peu rassurant que le risque de collisions moins important pour le hachage de mot de passe que pour le chiffrement à clé publique ou des signatures numériques. À l'aide de MD5 aujourd'hui est un terrible idée pour le SSL, mais pas aussi désastreux pour le hachage de mot de passe. Mais si vous avez le choix, choisissez simplement plus.

    À l'aide d'une bonne fonction de hachage est pas assez pour sécuriser vos mots de passe. Vous devriez hachage des mots de passe avec sels qui sont longues et chiffrée de manière aléatoire. Vous devez également aider les utilisateurs à choisir des mots de passe plus forts ou des phrases de passe si possible. Plus est toujours mieux.

    • "Plus c'est mieux". Pas forcément true. J'ai entendu des affirmations anecdotiques que le fait de forcer les utilisateurs à choisir des mots de passe plus longs parfois les amène à choisir des mots de passe avec moins de l'entropie, de sorte qu'ils peuvent se souvenir d'eux. Personnellement, je me souviens d'un 8-numérique généré de façon aléatoire de mot de passe si je l'utilise tous les jours. Plus que cela et je vais recourir à apporter des mots de passe moi-même, et je ne sais pas ce que l'entropie ceux qui ont.
    • Les attaquants ne pas passer progressivement d'une faible entropie tentatives de mot de passe pour celles du haut. Ils essaient de l'attaque de dictionnaire, et puis il y a la force brute. Ainsi, "ooGoo!ooooooo876" a bas l'entropie que "d!NA0sue732bnfuw", mais elle n'est moins sûr.
    • Pour le hachage de mot de passe, MD5 devrait toujours être considéré comme une option raisonnable (comme vous l'avez fait allusion), à condition que vos mots de passe forts et que vous utilisez un sel (qui s'appliquerait à tout de hachage). Les attaques par collision sont largement hors de propos pour le hachage de mot de passe, dans ma compréhension.
    • ni "ooGoo!ooooooo876" ni "d!NA0sue732bnfuw" a tout de l'entropie dans le sens, car ils sont des constantes non des variables aléatoires. Pour être pédant j'aurais dit "choisissez des mots de passe sous la forme de résultats de recherche.v avec moins d'entropie", pas "choisir des mots de passe avec moins d'entropie". Une basse entropie de génération de mot de passe système est plus susceptible de générer des mots de passe qui tombent dans la première partie d'un dictionnaire/attaque par force brute, en supposant que (comme on doit, pour la sécurité) que l'attaquant a un aperçu de la façon dont les mots de passe sont choisis et a conçu son attaque de discernement.
    • l'attaquant a un aperçu..." c'est le point sur l'utilisation de mot de passe plus long. Il y a beaucoup de différence entre un 8-les caractères du mot de passe (clavier) et de 14 à 50 caractères le mot de passe (probablement alpha num + signe de ponctuation et peut-être un peu aléatoire de caractères). Ce dernier a beaucoup plus d'espace. Même si elle est susceptible d'être composé de mots, comme vous pouvez les modifier (3ll3 parler, sms-style, ...), elle donne encore plus d'entropie.
    • +1 pour un mot: salt. Sans sel, vous êtes sensible à l'arc-en-ciel-attaques. Et je dois préciser que vous souhaitez un sel pour chaque mot de passe, pas un seul pour l'ensemble du lot d'entre eux!
    • Un mot de passe plus long a le potentiel pour plus d'entropie, bien sûr. Mais molf dit "plus c'est toujours mieux". C'est faux: un mot de passe composé de 8 caractères alphanumériques aléatoires est mieux qu'un mot de passe composé de deux aléatoire des mots du dictionnaire. Si vous présentez alors assez d'autres aléatoire pour le mot de passe de génération de schéma, puis finalement il sera mieux. Si oui ou non les utilisateurs seront réellement le faire quand ils sont forcés de choisir des mots de passe plus longs est une question de psychologie, pas de théorie de l'information. Je ne suis pas assez sûr de la réponse à imposer tout, mais un tout petit minimum de limite de longueur.
    • De nombreux mots de passe utilisateur sont déjà assez simple. Des mots de passes sont souvent tout aussi facile à retenir, tout en profitant de la force supplémentaire de leur longueur. Je maintiens que, toutes les autres choses étant égales par, a plus est toujours mieux. Mais toutes les choses ne sont pas toujours égales, et vous avez tout à fait raison de mettre en question si oui ou non un longueur minimale nécessaire va affaiblir les mots de passe. Soyez prudent dans les strictes limites minimales, et aider les utilisateurs à décider pour eux-mêmes.
    • J'ai édité un avertissement sur la façon rapide MD5, SHA-1, etc. peut être brute forcé à l'aide de Gpu, et la façon dont cela signifie que rien de cela n'est plus acceptable pour le stockage de mot de passe. N'hésitez pas à modifier/revenir/etc.
    • pourquoi ne pas utiliser qch comme sha1(md5($password)) ?

    InformationsquelleAutor molf
  2. 10

    Grande question! Cette page est une bonne lecture. En particulier, l'auteur prétend que le MD5 n'est pas approprié pour le hachage des mots de passe:

    Le problème est que MD5 est rapide. Ses moderne concurrents, comme SHA1 et SHA256. La vitesse est un des objectifs de la conception moderne de hachage sécurisé, parce que les hachages sont un bloc de construction de presque tous les crypto-système, et généralement obtenir à la demande exécuté par paquet ou par message de base.

    Vitesse est exactement ce que vous ne voulez pas un mot de passe fonction de hachage.

    L'article afin d'expliquer certaines des solutions de rechange, et recommande Bcrypt comme le "bon choix" (ce sont ses mots, pas les miens).

    Avertissement: je n'ai pas essayé Bcrypt à tous. Considérez ceci une recommandation amicale, mais pas quelque chose que je peux sauvegarder avec ma propre expérience technique.

    • L'auteur recommande également le hachage de mot de passe, élaboré pour FreeBSD, qui utilise MD5, à sa base, mais effectue une itération de la fonction de hachage des milliers de fois. Il y a une construction similaire basée sur l'algorithme SHA-1 disponible dans la glibc.
    • +1 pour la citation Matasano 🙂
    InformationsquelleAutor Matt Solnit
  3. 6

    Pour augmenter la force du mot de passe, vous devez utiliser une plus grande variété de symboles. Si vous avez 8 à 10 caractères dans le mot de passe, il devient assez difficile de la faire craquer. Même si c'est plus long, il sera plus sécurisé, uniquement si vous utilisez numérique/alphabétique/autres personnages.

    SHA1 est un autre de hachage (une façon de chiffrement) l'algorithme, il est lent, mais il est plus long à digérer. (codée message vocal) (160 bits) où MD5 ne dispose que de 128 bits.

    Puis SHA2 est encore plus sûr, mais moins utilisé.

    • Je note que le ralentissement est en fait un avantages quand il s'agit de se défendre contre les attaques en force.
    • Vous avez tout à fait raison! Merci pour la mention:)
    • Ce n'est pas tellement "plus lent" comme "difficile de faire rapide, même avec du matériel dédié/tables précalculées/analyse mathématique..." ce qui est important. Le raisonnement derrière le NIST SHA-3 concours, les crypto fonctions de hachage, bien que toujours aussi lent qu'avant sur des ordinateurs à usage général, ont été affaiblie récemment pour diverses autres raisons. Surtout MD5 (voir le MD5 page Wikipedia).
    • Mettre toute confiance sur la vitesse avec laquelle l'ordinateur peut créer de la valeur de hachage est mal placée. La différence de vitesse entre les MD5 et SHA1 calcul fournira pas perceptible protection contre les attaques par force brute. La seule chose qui doit compter, c'est la qualité de la table de hachage et qui se rapporte à sa capacité à protéger contre le retrait à l'entrée de la table de hachage et de sa capacité à protéger contre faussement produire la même valeur de hachage avec des entrées différentes.
    • Vous pouvez toujours arc-en-ciel de la table SHA1. J'ai déplacé la plupart de mon nouveau développement jusqu'à SHA-256
    • Ce n'est pas tout à fait correct. |a| ^ l est l'équation qui décrit le nombre de valeurs possibles dans le mot de passe, où est le mot de passe de l'alphabet, et l est la longueur du mot de passe. Il est plus efficace d'augmenter l au lieu de |un|.
    • c'est que le sel est pour. Il y a de bonnes raisons de se déplacer à partir de l'algorithme SHA-1 SHA-256, mais arc-en-ciel de la table des attaques sur les mots de passe hachés ne sont pas parmi eux.
    • Jessop, je sel tous mes SHA1, mais en considérant que les rainbow tables sont vraiment commencé à se montrer, il n'a pas vraiment de mal à me servir de l'algorithme SHA-256. On peut aussi faire de la clé de durcissement afin d'augmenter le temps pris pour les attaques en force.
    • Vous pouvez construire un arc-en-ciel de la table pour aucun algorithme de hachage. La faisabilité de la construction d'un arc-en-ciel de la table est une fonction de combien d'entrées possibles il y a, pas de la robustesse de l'algorithme.
    • Johnson, je suis conscient, toutefois, que de plus en plus de tables spectacle, j'ai de moins en moins envie d'utiliser SHA-1.
    • mais pourquoi est-il important? Avec 64 bits de sel, comment quelqu'un peut éventuellement avoir un arc-en-ciel de la table pour SHA-1 avec le bon sel de la valeur? Ils pourraient commencer à générer une fois qu'ils savent le sel pour le mot de passe ils ont envie de craquer, mais ce n'est pas différente d'une attaque par dictionnaire sur SHA-1. L'existence de rainbow tables pour SHA-1 n'est pas une menace pour vous. L'existence de preimage attaques sur SHA-1 pourrait être une menace croissante.

    InformationsquelleAutor Tony The Lion
  4. 3

    saler le mot de passe est toujours un niveau supplémentaire de la défense

    $salt = 'asfasdfasdf0a8sdflkjasdfapsdufp';
$hashed = md5( $userPassword . $salt );
    • Il est important qu'une fraîche sel est généré chaque fois qu'un mot de passe est défini, ne pas être une valeur fixe.
    • Ne serait-ce pas encore faire le calcul façon de prendre plus de temps si c'était toujours les mêmes, augmentant ainsi le temps de la force brutale, c'? - Si le sel est différent à chaque fois, il devrait être stockés dans la même ligne que le mot de passe pour le mécanisme de connexion pour être en mesure de comparer les hachés de tenter de le vrai mot de passe.
    • Si le sel est toujours le même, l'attaquant peut a) bruteforce tous vos mots de passe en parallèle (chaque test de hachage peut être comparé à l'encontre de tous vos mots de passe); et b) calculer les hachages à l'avance de voir votre base de données. Oui, le sel doit être stocké à côté de la table de hachage, c'est exactement ce style UNIX hachage de mots de passe ne.
    • En fait, bien qu'il soit préférable d'utiliser un autre sel à chaque fois, il s'avère que même l'utilisation d'un sel est utile, tant que tous les systèmes dans le monde utilisent le même sel. Le point de salage est de prévenir les tables précalculées, le tables arc-en-ciel fréquemment utilisés pour le crack de mots de passe Windows. Donc, si le sel n'est pas la même que celle de tout le monde, il est toujours utile. Voir aussi Wikipédia sur le salage.
    • Le principal problème avec la non utilisation d'un sel est si 10 utilisateurs ont le même mot de passe puis $haché pour tous 10 est exactement le même. Donc, vous avez juste craqué 10 comptes (en supposant que vous pouvez voir ce qui est dans la base de données.)
    InformationsquelleAutor David Morrow
  5. 3

    De voir que les ordinateurs toujours plus vite et que les mathématiciens sont toujours à l'élaboration de ces algorithmes

    Chiffrement RSA est sûr qu'elle s'appuie sur un très grand nombre d' dur à la factor. Finalement, les ordinateurs pourront obtenir assez rapide pour le facteur le nombre dans un laps de temps raisonnable. De rester en avance sur la courbe, vous utilisez un plus grand nombre.

    Cependant, pour la plupart des sites web, le but de hachage des mots de passe est de rendre dérange pour quelqu'un ayant accès à la base de données à lire le mot de passe, de ne pas fournir de sécurité. À cette fin, le MD5 est bon1.

    L'implication ici est que si un utilisateur malveillant parvient à accéder à votre base de données entière, ils n'ont pas besoin du mot de passe. (La serrure sur la porte d'entrée ne vais pas m'arrêter de venir à la fenêtre.)

    1 tout Simplement parce que MD5 est "cassé" ne signifie pas que vous pouvez simplement l'inverse quand vous le souhaitez.

    • "Cependant, pour la plupart des sites web, le but de hachage des mots de passe est de le rendre facile pour quelqu'un ayant accès à la base de données à lire le mot de passe, de ne pas assurer la sécurité". - peut-être que la plupart des sites obtenir, mais l'objectif devrait être de rendre impraticable l'inverse l'un de vos utilisateurs sont stockés les mots de passe et à le faire est donc tout à fait réalisable.
    • D'accord, j'ai beaucoup essayé d'expliquer à mes collègues pourquoi les faiblesses dans le MD5 ne devrait pas empêcher son utilisation pour le hachage de mot de passe. Inutile de dire que, à l'aide d'un sel et le minimum de force de mot de passe est toujours conseillé
    • Je suis d'accord que s'ils vous ont toute la base de données, ils n'ont pas besoin les utilisateurs des mots de passe pour entrer dans votre système, mais comme beaucoup de gens de réutiliser leurs mots de passe, c'est toujours une mauvaise idée compte de l'importance d'une forte algorithme de hachage + sel.
    • En effet. Et (presque 9 ans plus tard) je pense qu'il est temps de passer de simples MD5, et vraiment, les mots de passe en général. Il y a encore beaucoup d'utilité à avoir de l'humble nom d'utilisateur & mot de passe, mais j'attends avec impatience le jour où la biométrie et facile à utiliser, deuxième facteurs sont pratique et sécuritaire de s'authentifier.
    InformationsquelleAutor Seth
  6. 1

    En plus d'être un cryptographique sécurisé d'une sorte de fonction, une bonne fonction de hachage de mot de passe de protection doit être dur pour la force brute - c'est à dire lent de par leur conception. scrypt est l'un des meilleurs dans ce domaine. À partir de la page d'accueil:

    Nous estimons que moderne (2009) de matériel, si les 5 secondes sont passées calcul de clé dérivée, le coût d'un matériel attaque par force brute contre scrypt est d'environ 4000 fois plus élevé que le coût d'une attaque similaire contre bcrypt (afin de trouver le même mot de passe), et à 20 000 fois supérieure à une attaque similaire contre PBKDF2.

    Cela dit, couramment disponible les fonctions de hachage, en faisant quelques milliers d'itérations de rien du SHA de la famille est assez raisonnable de protection pour les non-critique des mots de passe.

    Aussi, toujours ajouter du sel pour le rendre impossible à l'effort de l'action pour la force brute de nombreux hachages à la fois.

    InformationsquelleAutor Ants Aasma
  7. 0

    NIST est actuellement un concours pour choisir un nouvel algorithme de hachage, comme ils l'ont fait pour sélectionner l'algorithme de chiffrement AES. Donc, la réponse à cette question sera probablement différente dans une couple d'années.

    Vous pouvez consulter les présentations et les étudier par vous-même pour voir si il y a celui que vous souhaitez utiliser.

    InformationsquelleAutor Jeffrey L Whitledge