message del Silke paraso - md5,bcrypt

Patestavau

import md5

import bcrypt

import time

t1=time.time()

password="a1d2g3h2"

hashed1 = bcrypt.hashpw(password, bcrypt.gensalt(10))

t2=time.time()

hashed2 = md5.new(password).digest()

t3=time.time()

t4=t2-t1

t5=t3-t2

print t4

print "\n"

print t5

print "\n"

$python pw.py

0.309509992599

6.50882720947e-05

na lyg istikro stiprus skirtumas

o jeigu apie saugumą kalbant?

Būtent! Čia yra viena tų vietų, kai greitis yra blogai. T.y. kuo greičiau suskaičiuos hashą, tuo daugiau kombinacijų crackeriai išbandys per tam tikrą laiko tarpą. Tuo labiau, kad sudėtingesnių algoritmų dar ir neperkelsi lengvai ant GPU. MD5 galima patikrinti milijonus per sekundę. Bcrypt, kaip matai, gal keletą. Tame ir jo esmė :)

Jei bijai, kad su tokiu CPU kankinimu useriai tau už'dos'ins servą – būtinas limitavimas. Po, tarkime, 3 neteisingų slaptažodžio suvedimų – captcha (pasižvalgyk į twitter, google, facebook – visur rasi tą).

Tuoj tapsiu įžymybe – dėl mano parašo kuria temas :)

Dar galima pridurt, kad MD5 išvis reikėtų išmest iš galvos ir pamiršti, kad toks dalykas yra. MD5 nėra tinkama net kaip bendro pobūdžio hash funkcija (pvz., failų checksumams), nes yra atrasta rimtų collisionų. Tam galima būtų naudoti SHA2 ar SHA3.

Dėl slaptažodžių, išlieka ta pati rekomendacija: bcrypt, pbkdf2, scrypt.

kodas seip turejo buti toks - esme nepakito

import md5

import bcrypt

import time

password="a1d2g3h2"

hashed="$2a$10$Ap8/LdFznoSpQ5RpL7t7pekmAGQ2KosxjRlMXlUXYg9ptCzHvBMqS"

t1=time.time()

hashed1 = bcrypt.hashpw(password, hashed)

t2=time.time()

hashed2 = md5.new(password).hexdigest()

t3=time.time()

t4=t2-t1

t5=t3-t2

print t4

print "\n"

print t5

print "\n"

---

Analitiskai rasanciu ne taip jau daug, tai pastebejau tave senokai