Melchett écrit: «Il est trop fréquent que le Web (et d'autres) les applications utilisent MD5, SHA1, SHA-256 ou de hachage des mots de passe utilisateur, et plus de développeurs éclairés même le sel le mot de passe. Et au fil des ans j'ai vu des discussions animées sur quel les valeurs de sel doit être généré et sur combien de temps ils devraient être. Malheureusement, dans la plupart des cas les gens négliger le fait que MD et les familles de hachage SHA sont conçus pour la vitesse de calcul, et la qualité de vos valeurs sel ne fait pas vraiment d'importance quand un attaquant a gagné le plein contrôle, comme cela s'est produit avec rootkit.com. Quand un attaquant a un accès root, ils seront vos mots de passe, le sel et le code que vous utilisez pour vérifier les mots de passe. "
Lire la suite de cette histoire à Slashdot.
Aucun commentaire:
Enregistrer un commentaire