Чем плох md5(md5($pass)) для пароля?

Question

[accountnujen]

BCRYPT - 0.12169909
ARGON2I - 0.46269512
md5(md5($pass)) - 0.00000405

Comments

[Philipp]

Используй вот это, пожалуйста https://www.php.net/manual/en/ref.password.php

[accountnujen]

Philipp, а каким образом ещё можно было получить время выполнения bcrypt и argon?

[Philipp]

accountnujen, можно xdebug применить.

[Philipp]

И такая штука есть https://github.com/perftools/php-profiler

[FanatPHP]

Philipp, а вы вообще что ли не читаете тексты, на которые пытаетесь отвечать?

[Philipp]

FanatPHP, не, я просто вижу, что человек фигней страдает, надо бы помочь.

[FanatPHP]

Philipp, а вы всё-таки попробуйте читать. Это нужно делать даже если вы очень-очень хотите помочь.

[Philipp]

FanatPHP, ты чего такой напряженный? Воскресенье же, попей кофейку, на пробежку сходи или на массаж там.
Я читаю вопросы, просто я решаю настоящую проблему, а не занимаюсь смакованием того, какой алгоритм лучше или хуже. Они все временны и для того же BCRYPT количество раундов полностью зависит от железа. Перестань лить яд и думай головой.

[FanatPHP]

Philipp, из ваших комментариев не видно, что вы читаете вопросы. Но ок, я понял, это бесполезно. Хорошего воскресенья

[Philipp]

FanatPHP, я читаю вопрос, просто не отвечаю на них, как одноклеточная амеба. Человек не понимает, зачем и для чего ему нужно хэширование. Пытается выбрать алгоритм по принципу "а что круче".
Его основная задача - реализовать хэширование пароля. Без глубокого понимания этого процесса сделать нормально не получится. Именно поэтому я рекомендовал использовать специально придуманные для решения подобных задач функции.

[Сергей delphinpro]

Philipp, Смотрите как это выглядит:

– Чем плох md5(md5($pass)) для пароля?
– Используй вот это, пожалуйста https://www.php.net/manual/en/ref.password.php

Напоминает старый анекдот про русские форумы:

Новичок: Подскажите пожалуйста самый крепкий сорт дерева! Весь инет перерыл, поиском пользовался!
Старожил: Объясни, зачем тебе понадобилось дерево? Сейчас оно в строительстве практически не используется.
Новичок: Я небоскрёб собираюсь строить. Хочу узнать, из какого дерева делать перекрытия между этажами!
Старожил: Какое дерево? Ты вообще соображаешь, что говоришь?
Новичок: Чем мне нравится этот форум - из двух ответов ни одного конкретного. Одни вопросы не по делу!
Старожил: Не нравится - тебя здесь никто не держит. Но если ты не соображаешь, что из дерева небоскрёбы не строят, то лучше бы тебе сначала школу закончить.
Новичок: Не знаете - лучше молчите! У меня дедушка в деревянном доме живёт! У НЕГО НИЧЕГО НЕ ЛОМАЕТСЯ!!! Но у него дом из сосны, а я понимаю, что для небоскрёба нужно дерево прочнее! Поэтому и спрашиваю!!! А от вас нормального ответа недождёшся!!!

Прохожий: Самое крепкое дерево - дуб. Вот тебе технология вымачивания дуба в солёной воде, она придаёт дубу особую прочность:
Новичок: Спасибо, братан! То что нужно!!!

[FanatPHP]

Сергей delphinpro, не, ну в теории логика у него в словах есть. Но вот на практике...
Он просто вообще не улавливает нюансов.
Ни с первого, ни даже со второго раза до него не дошло, что автор УЖЕ в курсе про эту функцию, а вопрос у него не про то, что ее надо использовать, а про то как она работает.
Ну то есть типичный болванчик, который вопросы не читает, а имеет в голове список готовых ответов, из которого и шарашит не глядя.

[Philipp]

FanatPHP, из вопроса не ясно, знает ли человек про эту функцию или нет. Есть куча материала про алгоритмы хэширования. Может он где-то вычитал про них.

У меня есть опыт работы с системными программистами, которым иногда надо что-то писать для веб. Они превосходно разбираются в теме криптования, но понятия не имеют о существующей экосистеме. Такие люди могут легко схватить mcrypt или openssl и через него все написать, т.к. знакомы.

Я прекрасно вижу конкретику этого вопроса. Но она бессмысленна, т.к. имеет ситуативную привязку и не решает проблемы в целом - выбора алгоритма хэширования пароля. Так вот, в PHP Committee эта проблема была решена через целую связку решений, которые в большинстве случаев являются безопасными, расширяемыми и переносимыми.

Мне жаль, что вы так плохо восприняли мой комментарий. Мыслите шире и больше отдыхайте, это помогает решать сложные проблемы.

[FanatPHP]

Philipp, да в общем да, я зря на вас напустился.
просто меня раздражает тупость комментариев в подобных вопросах в целом, я уже привычно настраиваюсь на галиматью.
и тот факт, что даже неприкрытый сарказм во втором сверху комментарии вы приняли за вопрос, не прибавил любви к людям.

Answer 1

[FanatPHP]

Иногда смотришь на вопрос и не понимаешь, о чем он.
Судя по вопросу и цифрам в нем, автор и так уже осведомлен о правильных способах хэширования и должен уже знать ответ на свой вопрос.

Ну если до сих пор не ясно, то цифры здесь приведены для цпу общего назначения, а не для железа, предназначеного для вычисления хэшей. На котором ситуация для мд5 будет совсем плачевная.

Возможно, непонимание происходит оттого, что существует не один, а несколько векторов атаки на пароль.

1. Поиск хэша по "радужным таблицам" (rainbow tables): огромным базам данных, где собираются заранее посчитанные хэши для любых возможных строк.
   
2. Метод грубой силы (bruteforce): перебирать все комбинации символов и применять к ним хэширующую функцию до тех пор, пока она не вернёт искомый хэш.
   
3. Поиск по словарю. Похож на брутфорс, но перебор не всех возможных значений, а всего нескольких тысяч самых популярных паролей, типа "123", "password" и пр.
   

phpfaq.ru/tech/hashing

И только одного элемента недостаточно, а нужны все в комплексе:
- Хэширующая функция должна иметь большую вычислительную сложность, чтобы усложнить подбор перебором. по этой причине md5() не подходит
- Хэш должен быть посолен уникальной солью, чтобы нельзя было, затратив 1 раз кучу вычислительных усилий, заранее построить хэши для любых комбинаций символов. По этой причине фарш без соли - деньги на ветер.
- Пароль не должен быть слишком простым, иначе даже медленный перебор его раскроет. Этот момент тоже надо учитывать

Answer 2

[galaxy]

1. Нет соли
2. Слишком быстрый

Answer 3

[profesor08]

Хеш короткий и возможно уже все посчитаны. Есть онлайн сервисы по подбору пароля по его хешу. Так что проще пароль хранить в открытом виде, md5 защищенности не прибавит.

Comments

[accountnujen]

если внимательно посмотреть на мой вопрос, то ваша фраза

Есть онлайн сервисы по подбору пароля по его хешу.

теряет смысл. Много у нас радужных таблиц, который md5(md5())? а md5(md5(md5()))?

ответ galaxy более полный чем ваш, а там символов меньше. задумайтесь. надеюсь не вы выбрали свой ответ ответом...

[profesor08]

agagaheash ashaherya4wr, если утекли пароли, это еще не значит что не утекли ключи и прочие секреты.

теряет смысл. Много у нас радужных таблиц, который md5(md5())? а md5(md5(md5()))?

Не понимаешь, но пытаешься что-то доказать. Да хоть md5(md5(md5(md5(md5(md5(md5(md5(md5(md5()))))))))), хеш будет 128 бит. Множество паролей могут иметь один и тот-же хеш.

[Николай Савельев]

profesor08, это называется одним словом - коллизия

[accountnujen]

Agent Smith, да срать на коллизию. Жопа и Виноград будут возвращать одинаковый хеш, только мне от этого хуже не станет. Я шифрую пароли, чтобы в случае взлома/утечки никто из пользователей не пострадал (иначе, зачем шифровать пароли и хранить в БД только хеши - я не знаю для чего), поэтому в моём понимании md5(md5()) полностью удовлетворяет потребности: даже если в радуге будет коллизионный пароль, то это будет пароль не моего пользователя.

[FanatPHP]

accountnujen, о, еще один гений логического мышления. КАКАЯ РАЗНИЦА, что ужасный хакер узнает слово Жопа, а не Виноград, если ОБА ПОДХОДЯТ?

[accountnujen]

FanatPHP, как правило проёб идёт в том, что люди используют один и тот же пароль на множестве сайтов и узнав пароль от одного - узнают от всего остального. "Жопа" будет подходить только к входу к моему сайту, а настоящий пароль - "Виноград" - никто не узнает, потому что ты ни брутфорсом, ни радужной таблицей, ни перебором по словарю не найдёшь. Про хеш, который вернёт Жопу я имею в виду, что хакер получил этот хеш через sql инъекцию. И я не рассматриваю вариант, где хацкер получил доступ к php файлу и увидел мою соль - это уже какой-то пиздец. Я понимаю о чём вы говорите и здесь цель: замедляя хеширование мы замедляем его подбор. Здесь уже вопрос закрыт. Меня другое беспокоит...

В двух предложениях можешь объяснить, как работает сравнивание хеша с паролем по ARGON2I? Что за гениальное изобретение? Хеши имеют разный вид, но password_verify возвращает true... Это прям мистика для меня.

[profesor08]

accountnujen, можно узнать все варианты паролей, которые подходят к конкретному хешу, а потом подбирать вручную нужный. Если ты напишешь md5(md5()), то при поиске совпадений, скорей всего, одним из вариантов будет другой хеш, а поиск по нему, выдаст еще паролей, и вот тут уже не важно что найдет, хоть "Попа", так как после хеширования md5(md5("Попа")), получится тот самый хеш, что лежит в базе.

[FanatPHP]

accountnujen, ЛЮБОЕ обращение к функции password_hash возвращает результат, который "имеет разный вид", а не только с ARGON2I. По совершенно очевидной причине. Однозначно следующей из принципа работы этой функции

[FanatPHP]

accountnujen, ну то есть расчет у нас такой "к другому сайту, где используется нормальный хэш, найденный пароль не подойдет, поэтому я могу использовать говнохэш. А таких гениев, которые будут рассуждать так же как я, в мире больше не найдётся, я один такой головастый.
и "ну пусть хэш у меня выудят, а соль-то никогда".
В общем, криптография методом "ну такого просто никогда не случится!!!111"

Очень характерный ход мысли. Причем характерный именно для макак, у которых не только хэш, но и весь остальной код из говна. То есть там не только соль, а вообще все кишки наружу.

[FanatPHP]

profesor08, Логика, ЛОГИКА черт возьми где? Надо определиться, или " узнать все варианты паролей" или " Множество паролей могут иметь один и тот-же хеш". Если узнать все, то какой смысл в коллизиях?
Коллизии будут работать только при использовании такого же метода хэширования.
И в целом, речь здесь не о них. Вроде бы, на длинах строк типичных для паролей, коллизий в мд5 нет.

[batyrmastyr]

accountnujen, чтобы никто из пользователей не пострадал есть password_hash - сам добавит соль в каждый хеш, с обновлениями пыхи перейдёт на более надёжный алгоритм. От вас требуется только иногда проверять, не пора ли обновить хеш на более надёжный через password_needs_rehash.

[Станислав Бушуев]

accountnujen,

Много у нас радужных таблиц, который md5(md5())? а md5(md5(md5()))?

Каждая (которая для md5). Это как раз базис сжатия радужных таблиц.
Если известный пароль попал в радужную таблицу, то там есть и md5(…много раз… md5()…)))

Answer 4

[Adamos]

Вопрос: почему не использовать тот хэш, который быстрее - это же оптимизация?
Ответ: да потому, что это оптимизация взлома!

Comments

[Владимир Коротенко]

если нет доступа к бд, то нет взлома.

[Adamos]

Владимир Коротенко, истинно говорю вам: если не украсть информацию, то украсть ее не получится!

[Владимир Коротенко]

Adamos, Амэн!

Answer 5

[danSamara]

По каким критериям оцениваем?

1. По скорости - лучший.
2. По криптостойкости - худший.
3. По коллизиям - один из худших.
4. По соли - критерий неприменим.

1. Когда важна скорость, и не важны прочие критерии, например при подсчёте контрольных сумм - MD5, наверное, один из лучших. Хэшировать пароли тоже можно - например кратко живущие длинные токены с большой вариативностью - никто в здравом уме не будет подбирать хэш для 20 символов, срок жизни которых - 5-10 минут. Хотя я бы и для токенов использовал что-то другое - тот же sha, от греха подальше )

2. Криптостойкость у MD5 низкая. Вложенность (md5(md5(...))) её только уменьшает, увеличивая коллизии и не сильно влияя на скорость перебора - на современных картах она уже составляет сотни гигахэшей. Может уже перешагнули за черту терра - не сильно за трендами слежу.

3. Коллизии. Наличие коллизий, по сути, увеличивает скорость перебора. С другой стороны - не позволяет точно определить оригинальный пароль, т.к. при наличии нескольких подходящих под определённый хэш паролей невозможно определить какой именно использовал юзер. Однако ничего не мешает перебирать эти варианты на других сервисах.

4. Соль к хэшированию не имеет прямого отношения и применяется только для исключения возможности использования атакующим радужных таблиц. Однако перебор по словарю и перебор по словарю с вариантами (добавление символов до/после слов, склейка и т.д.) вполне возможен и соль на него не влияет никак. В случае MD5, опять же, это очень быстро.