On 2013-01-22, M.M. <m...@g...com> wrote:
> W dniu poniedziałek, 21 stycznia 2013 10:21:35 UTC+1 użytkownik yamma napisał:
>> No i jeszcze pasowałoby przedtem posolić, żeby z takich samych haseł nie
>> wyszły identyczne "hasze". Ja zazwyczaj solę GUIDem, który jest
>> identyfikatorem rekordu ale np. Microsoft w ASP.NETowym Membershipie tworzy
>> dodatkowe pole z losowo wygenerowanym ciągiem znaków.
>
> Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?

Tego określenia się używa. I prawidłowo to się używa dedykowanej
biblioteki do haszowania haseł, a nie paprze ręcznie.

> Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
> jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny.

Kolejny "insztalator" próbujący uprawiać własną kryptografię. Jaką niby
wartość kryptograficzną to co robisz ma dodawać?

> Gdzieś
> czytałem że md5 został rozpracowany - nie wiem znaczy słowo "rozpracowany",
> ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie używać.

Mój drogi, ty poważnej kryptografii nie widziałeś na oczy, więc się nie
wypowiadaj. Tobie używać gotowych bibliotek do wysokopoziomowych
zastosowań, a nie oceniać funkcje skrótu.

--
Secunia non olet.
Stanislaw Klekot