אני מניח שיש ממשק MD5 ל ASP, פשוט תדאג שכשהמשתמש מכניס את הסיסמא השרת יעשה לה MD5 HASH וישמור את ה HASH עצמו שהוא מקבל. ואז בפעמים הבאות כשהוא מכניס את הסיסמא, פשוט הוא יוצר HASH מחדש ומשווה אם הוא זהה ל HASH ששמור במערכת.

טוב מצאתי:

הסבר: http://rossm.net/Electronics/Computers/Software/ASP/

קוד: http://rossm.net/Electronics/Computers/Software/ASP/MD5.htm

יש דרך "לפרוץ" ססמאות ככה, אם נתון הMD5. דרך שדיי דומה לBRUTE FORCE, אבל שמפעילים אותה רק פעם אחת.(http://rossm.net/MD5.asp)

אני יוצר רשימה של כל הסיסמאות שקיימות(למשל עד 4 תויום - 10^4), והMD5 המתאימים להם(כאן בעצם בא החלק של הBRUTE). אני ממיין לפי קוד הMD5 מילונית.

כל פעם שנתון לי קוד הMD5, אני מחפש חיפוש בינארי(LOG10^4 = 4*log10=4/log2 בערך 14 בדיקות בלי קשר לאורך הMD5) וסיימתי!!!

רעיון טוב, או שיש בעיה?

[glow=red,2,300]לכל הצפנה אתה יכול לעשות חיפוש ממצה[/glow], הצפנה מספיק חזקה היא אחת כזאת שחיפוש ממצה כזה יקח לך נצחים

לדוגמא אם אתה צריך למצוא מפתח באורך 128 סיביות תצטרך לעבור על 128^2 מפתחות שונים ואת זה לא תסיים בחיים.

אם מרחב הסיסמאות שלך הוא של 4^10 אז כבר יש לך בעיה. בגלל זה מכריחים משתמשים להשתמש בסיסמאות "טובות".

אגב, SHA-1 כנראה נפרצה תיאורטית בשבוע שעבר. (נפרצה תיאורטית = יש דרך למצוא collision בסיבוכיות יותר נמוכה ממה שהיה אמור להיות אפשר).

זה לא שהיא כבר לא בטוחה בכלל, זה רק אומר שהיא פחות בטוחה ממה שחשבו שהיא. (כמו double DES למשל)