というウェブサイト。
MD5又はSHA1のハッシュを入力すると、同一のハッシュを吐くストリングを探してくれるもの。
試しに、"liberty" をmd5sumしたハッシュを入力。
爆笑した。何コレ怖い。
しかし、所詮はデータベース式。"warewarehautyuuzinnda" を入力。
MD5が吐くハッシュは340282366920938463463374607431768211456通りあるし、当然のこと。
これは「復号」されているのではなく、単にデータベースから一致するハッシュを探し出し、そのハッシュに関連付けられたストリングを表示しているだけです。
このような「総当たり」の対策としては、他のハッシュ関数(アルゴリズム)と組み合わせて使うなど(SSL 3.0 ではMD5とSHA1を組み合わせて使っている模様)。
最も重要なのは、ユーザーのセキュリティに対する関心。
パスワードはウェブサイト毎に異なるべきです。
SHA1.pm, MD5.pm を公開してみました
SHA1やMD5はそのままではなく、SSHA1やSMD5としての使用を推奨します。
SMD5、SSHAってなに?
0 件のコメント:
コメントを投稿