Das Problem des Passwort-Hashing und der Verwendung von Regenbogentabellen hängt von der Sicherheit eines Webservers ab, der durch eine zugrunde liegende Schwachstelle ausgenutzt wird.
Zunächst einmal sollen all diese Websites einen einfachen Test anbieten Überprüfen Sie, ob Ihr Passwort sicher ist ... Ummm, lassen Sie uns diese Websites als Phishing betrachten und alle Leute, die sich auf diese Websites begeben, füttern einen Regenbogentisch. Dies ist ein Teil des Problems.
Zweitens handelt es sich um Personen, die Webhosting-Dienste nutzen, bei denen es darum geht, Geld einzusammeln und die Sicherheit des Webservers zu vergessen. Diese Hosts sollten an die Wand gestellt und erschossen werden Meiner Meinung nach beruht ein Teil der Sicherheit eines Benutzer-Logins auf der Sicherheit eines Webservers und der Aktualisierung der zugrunde liegenden Technologien, um zu verhindern, dass bekannte Exploits verwendet werden.
Drittens ist dies der Fall, wenn die Benutzer erst einmal darauf zugreifen Ihre dicken Köpfe sind zwar nicht kollisionssicher oder ich bevorzuge so robust wie möglich, aber es ist immer noch schwierig, ein Benutzerkonto zu hacken, es sei denn, Sie haben einen Webhost, auf dem ein ausnutzbares System ausgeführt wird, Ihre Webcodierung ist nicht robust und Sie Stellen Sie sich einer Website zur Verfügung, die behauptet, Ihre Kennwortsicherheit zu überprüfen.
Zum größten Teil ist MD5 + ein Salt-Wert eine ausreichende Sicherheit für eine Benutzeranmeldung in einem Webforum, solange das zuvor erwähnte System und die zuvor erwähnte Software vorhanden sind nicht ausnutzbar. Sobald Sie ein System haben, das für eine Schwachstelle ausgenutzt wurde, wird durch Ausführen einer Abfrage nach bekannten Hashwerten, die kein Salting-System verwenden, eine vierte Schwachstelle aufgedeckt ... der Endbenutzer.
Viertens ist der Endbenutzer, Ihre Websicherheit ist letztendlich nur so stark wie das schwächste Glied, und für viele wird der Endbenutzer genau so gesehen, und Administratoren müssen sich daran erinnern, dass sie Endbenutzer eines Systems sind und gleichermaßen als anfällig für die Gefährdung der Systemsicherheit durch schlampige Programmierung oder Software, die leicht zu beschädigen ist, schlechte Kennwortsicherheit und das Versäumnis, die ADMIN-Anmeldung zu ändern, oder durch die Verwendung von Software, die auch heute noch darauf besteht, den Administrator-Anmeldenamen als Administrator zu verwenden und Super-User-Konten zu verwenden
Es versteht sich von selbst, also werde ich es trotzdem sagen, MD5 ist nicht geknackt, es wird durch schwache Benutzer, schwache Software und die Unfähigkeit der Menschen, eine Technologie zu verstehen, rückentwickelt. Wenn MD5 geknackt ist, sind es auch SHA und AES und so weiter ...