[FUG-BR] MD5 trocado por SHA512 no FreeBSD

Juano Brozz juanobrozz em gmail.com
Terça Junho 19 21:00:53 BRT 2012


Em 19 de junho de 2012 20:43, Danilo Egea <daniloegea em yahoo.com.br>escreveu:

> On 6/19/12 8:27 PM, Juano Brozz wrote:
> > A única diferença é que a possibilidade de um usuário com senhas
> diferentes
> > ter o mesmo hash é muito reduzida usando SHA512?
> >
> > 2012/6/19 Danilo Egea <daniloegea em yahoo.com.br>
> >
> >> Depois de uma longa discussão da galera da lista freebsd-security,
> >> hoje foi dado o commit que substituiu o batido MD5 pelo SHA512
> >> no /etc/login.conf :D
> >>
> >> http://svnweb.freebsd.org/base?view=revision&revision=237269
> >>
> >> --
> >> Danilo Egêa Gondolfo
> >> http://daniloegea.wordpress.com
> >>
> >> "To understand the computers, we must know what computers understand."
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> Basicamente. Mas esse "pequeno" detalhe já torna os ataques de colisão
> de hash drasticamente menos eficientes.
>
>
Saquei. Hoje gravo as senhas de usuários de sistemas web em MD5 no banco de
dados. O hash eu gero com a senha + nome do usuário + uma string qualquer.
Mesmo tendo possibilidade de colizão o atacante precisaria dessas info a
mais para testar cada senha. Vale a pena trocar para SHA512? Faz alguma
diferença?



> --
> Danilo Egêa Gondolfo
> http://daniloegea.wordpress.com
>
> "To understand the computers, we must know what computers understand."
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd