Registrazione utente come su phpbb2?

[Barrnet]

Meno sicuro di un hash personalizzato come quello di phpbb3 non vuol dire "insicuro", attualmente si può bucare una password hashata in md5 solo con una ricerca a dizionario.

[marcomg]

Meno sicuro di un hash personalizzato come quello di phpbb3 non vuol dire "insicuro", attualmente si può bucare una password hashata in md5 solo con una ricerca a dizionario.

L'md5 è rotto! Non serve più a niente...

[Silver Surfer]

Una password MD5 concepita male è facilmente aggirabile ( anche se i siti o i software che praticano l'attacco non sono affatto legali ) ma siccome le tecniche usate non sono ricorsive con password concepite da un MD5 già esistente combinata con un una password normale ( ad esempio) ti restituisce un MD5 sconosciuto ai dizionari; poi se tu fai un brute force con una GPU Ferrari Testarossa con raffreddamento all'Azoto per abbastanza tempo....

[marcomg]

1) Non esiste alcuna legge che mi impedisce di memorizzare stringhe e i relativi md5/sha/etc
2) Non serve il brute force, md5 è rotto!

[Silver Surfer]

Se uno si affida a tale algoritmo crittografico, non vedo perchè non possa farlo, esiste una legge che impedisce di usarlo?

Per essere precisi anche le password phpbb3 si craccano senza problemi eccessivi, questo non vuol dire in termini assoluti che l'algoritmo crittografico del phpbb3 è rotto.
Le cose rotte, in tempi di vacche magre, non si buttano, si aggiustano.

[marcomg]

Uno può fare quello che vuole, nulla ti impedisce di salvare le password in chiaro, però è come utilizzare il DES
I certificati che utilizzavano md5 sono violabili in maniera facile tanto che le CA non usano più l'md5!

[Silver Surfer]

Stiamo parlando di una password per un forum, non di dati sensibili per il lancio di una bomba atomica.
A me hanno craccato il login da admin di un phpbb3 con password di 21 alphanumerici, con un lavoro preciso e veloce.
Quando sono bravi io mio limito a fargli pure i complimenti.

Quando accendi un computer, in realtà sei già esposto a rischi: il tutto sta ad accettare questo ineludibile assioma

[marcomg]

Ovvio, anche perché una password per quanto lunga e complessa si potrebbe indovinarla al primo colpo (probabilità tendente a 0). Comunque un forum se ha un bug ed il database diventa pubblico potrebbero esserci seri problemi con l'md5. Considera che la maggior parte degli utenti utilizza sempre e comunque la stessa password! Detto questo che cosa può andar male (a parte tutto s'intende)?

[Silver Surfer]

Ma io ti ho risposto perchè mi pare ci si stia fissando sulla pagliuzza e non si prende di vista il palo.
Non c'è bisogno di craccare password MD5 per entrare fraudolamente in un forum, questi sono mezzucci da lamer... e qui finisco il discorso.

[marcomg]

Sarà da lamer, ma funziona quindi meglio evitare.
Detto questo finisco anche io.
Ciao!

P.S. Io sono fissato su millemiglia pagliuzze