На моем RHEL6 Linux настроен для использования хеширования паролей MD5. Является ли использование Linux для MD5 хэширования паролями безопасным?
1 ответ
3
Несмотря на то, что MD5 по-прежнему сохраняет устойчивость к прообразу для практических целей (учитывая хэш, получить сообщение трудно), у него есть большой недостаток при использовании для аутентификации: его быстрота.
Короткие пароли могут быть легко обнаружены, используя либо радужную таблицу (список, содержащий много общих паролей и их соответствующие хэши), либо просто атаку методом перебора (пробуя все возможные пароли). Современные настольные компьютеры очень хороши в этом. Коммерческие программы, использующие ваш графический процессор для одновременного использования нескольких паролей, могут использовать миллиарды паролей в секунду.
Эта проблема может быть легко решена путем выбора пароля, который является длинным и / или достаточно сложным. Более медленные алгоритмы могут достичь того же уровня безопасности с более слабыми паролями.
Также злоумышленнику нужны либо теневые привилегии, либо физический доступ к жесткому диску, чтобы прочитать содержимое /etc/shadow (где хранится хеш). Это означает, что любому, кто может прочитать хеш, не нужно взламывать ваш пароль, чтобы получить доступ к вашему компьютеру. Так что, если вы используете свой пароль только на этом компьютере, вам не о чем беспокоиться.