दिलचस्प पोस्ट
मेरी जीआईटी भंडार इतनी बड़ी क्यों है? क्या अजाक्स अनुरोध को भरोसेमंद आग में उतारने की इवेंट का उपयोग किया जा सकता है? नियमित अभिव्यक्ति का एक छोटा उदाहरण एक राज्य मशीन में परिवर्तित हो गया है? "यादृच्छिकता" को समझना जावा स्ट्रिंग शाब्दिक संयोजन वास्तविक GitHub रिपॉजिटरी से नए अपडेट को फोर्क किए गए गीथहब रिपॉजिटरी में खींचें कैसे कॉन को केवल संख्याएं लेना चाहिए रेल पर रूबी एफ। कस्टम विशेषताओं के साथ विकल्पों को चुनें मैं जावा प्रिंट उद्धरण कैसे बना सकता हूं, जैसे "हैलो"? कैसे जावा के माध्यम से एक फ़ोल्डर को छिपाने के लिए जावा त्रुटि: "आपकी सुरक्षा सेटिंग्स ने स्थानीय अनुप्रयोग को चलाने से रोक दिया है" PHP में session_unset () और session_destroy () के बीच अंतर क्या है? मैं Visual Studio C ++ में तृतीय-पक्ष DLL फ़ाइल का उपयोग कैसे करूं? कैसे जावा में एक छवि में पाठ जोड़ने के लिए? एंड्रॉइड एमुलेटर में Google Play सेवाएं डाउनलोड करने के लिए कैसे?

पासवर्ड नमक इंद्रधनुष तालिका हमले के खिलाफ कैसे मदद करता है?

मुझे पासवर्ड में एक नमक के उद्देश्य को समझने में परेशानी हो रही है यह मेरी समझ है कि प्राथमिक उपयोग एक इंद्रधनुष तालिका हमले में बाधा है। हालांकि, मैंने जो तरीकों को लागू करने के लिए देखा है, वास्तव में समस्या को कठिन बनाने नहीं लगता

मैंने कई ट्यूटोरियल देखे हैं जो नमक को निम्नलिखित के रूप में इस्तेमाल करते हैं:

$hash = md5($salt.$password) 

तर्क यह है कि हैश अब मूल पासवर्ड के बिना नक्शे नहीं है, लेकिन पासवर्ड और नमक का एक संयोजन है। लेकिन $salt=foo और $password=bar और $hash=3858f62230ac3c915f300c664312c63f । अब इंद्रधनुष तालिका वाला कोई व्यक्ति हैश को बदल सकता है और इनपुट "फ़ोबर" के साथ आ सकता है। वे तब पासवर्ड के सभी संयोजनों (एफ, एफओ, एफयू, … ओबर, ओपर, बार, एआर, एआर) की कोशिश कर सकते थे। पासवर्ड प्राप्त करने में कुछ और मिलीसेकेंड लग सकते हैं, लेकिन बहुत कुछ नहीं।

मैंने देखा है कि अन्य उपयोग मेरे लिनक्स सिस्टम पर है। / Etc / shadow में hashed पासवर्ड वास्तव में नमक के साथ जमा किए जाते हैं उदाहरण के लिए, "फू" का एक नमक और "बार" का पासवर्ड इस पर होगा: $1$foo$te5SBM.7C25fFDu6bIRbX1 अगर कोई हैकर इस फाइल पर अपना हाथ लेने में सक्षम था, तो मुझे नहीं पता कि नमक क्या करता है, क्योंकि te5SBM.7C25fFDu6bIRbX के रिवर्स हैश को " te5SBM.7C25fFDu6bIRbX " शामिल है।

किसी भी प्रकाश के लिए धन्यवाद इस पर कोई भी शेड कर सकते हैं।

संपादित करें : मदद के लिए धन्यवाद। मैं जो समझता हूं संक्षेप करने के लिए, नमक से हैहेड पासवर्ड अधिक जटिल बना देता है, इस प्रकार यह एक प्रीकॉप्टेड इंद्रधनुष तालिका में मौजूद होने की बहुत कम संभावना है। मैं इससे पहले क्या गलत समझा था कि मैं सभी हंस के लिए एक इंद्रधनुष तालिका मान रहा था।

वेब के समाधान से एकत्रित समाधान "पासवर्ड नमक इंद्रधनुष तालिका हमले के खिलाफ कैसे मदद करता है?"

किसी एकल पासवर्ड को क्रैक करते समय एक सार्वजनिक नमक शब्दकोशों पर हमलों को मुश्किल नहीं बनायेगा जैसा कि आप ने बताया है, हमलावर के पास हैशड पासवर्ड और नमक दोनों का उपयोग होता है, इसलिए जब शब्दकोश हमले चलाते हैं, तो वह पासवर्ड को दरार करने का प्रयास करते समय केवल ज्ञात नमक का उपयोग कर सकता है।

एक सार्वजनिक नमक दो बातें करता है: यह पासवर्ड की एक बड़ी सूची को दरकिनार करने के लिए समय-अधिक उपभोग करता है, और यह इंद्रधनुष तालिका का उपयोग करने में अक्षम है।

पहले एक को समझने के लिए, एक एकल पासवर्ड फ़ाइल की कल्पना करें जिसमें सैकड़ों उपयोगकर्ता नाम और पासवर्ड शामिल हैं। नमक के बिना, मैं "एमडी 5 (प्रयास [0])" की गणना कर सकता था, और फिर फाइल देखने के लिए स्कैन करता हूं कि यह हैश कहीं भी दिखाई देता है या नहीं। यदि लवण मौजूद हैं, तो मुझे "एमडी 5 (नमक [ए]] प्रयास [[0])" की गणना करना है, एंट्री ए से तुलना करें, फिर "एमडी 5 (नमक [बी]] [प्रयास [0])", एंट्री बी के साथ तुलना करें , आदि। अब मुझे करने के लिए ज्यादा काम करने के लिए n गुना अधिक है, जहां n फाइल में निहित उपयोगकर्ता नाम और पासवर्ड की संख्या है

दूसरे को समझने के लिए, आपको यह समझना होगा कि एक इंद्रधनुष तालिका क्या है आमतौर पर इस्तेमाल किए जाने वाले पासवर्ड के लिए एक इंद्रधनुष तालिका पूर्व-गणना की गई हैश की एक बड़ी सूची है। फिर लूट के बिना पासवर्ड फ़ाइल की कल्पना करो। सभी को मुझे करना है फाइल की प्रत्येक पंक्ति के माध्यम से जाना है, हैशड पासवर्ड बाहर निकालें, और इसे इंद्रधनुष तालिका में देखें। मुझे कभी भी एक हैश गणना नहीं है यदि हैश फ़ंक्शन (जो शायद यह है) के मुकाबले लुक अप काफी तेज है, तो यह फाइल को क्रैकिंग करने में काफी तेज़ी देगा

लेकिन अगर पासवर्ड फ़ाइल को नमकीन बनाया जाता है, तो इंद्रधनुष तालिका में "नमक पासवर्ड" प्री-हैड होना चाहिए। यदि नमक पर्याप्त रूप से यादृच्छिक होता है, तो यह बहुत कम संभावना नहीं है। मेरे पास आमतौर पर इस्तेमाल की जाने वाली, प्री-हैश पासवर्ड (इंद्रधनुष तालिका) की सूची में "हैलो" और "फ़ोबर" और "क्वर्टी" जैसी चीज़ें होंगी, लेकिन मुझे "जेएक्स 9पीएस ड्ज़ेल्लो" जैसी चीज़ें नहीं होनेेगी "LPgB0sgxfoobar" या "dZVUABJtqwerty" पूर्व-गणना यह इंद्रधनुष तालिका को निषिद्ध रूप से बड़े करेगी

इसलिए, नमक हमलावर को वापस एक-गणना-प्रति-पंक्ति-प्रति-प्रयास में कम कर देता है, जो एक पर्याप्त लंबी, पर्याप्त रूप से यादृच्छिक पासवर्ड के साथ मिलकर होता है (आमतौर पर बोल रहा है) uncrackable।

अन्य जवाबों के विषय में आपके गलतफहमी को संबोधित करने में प्रतीत नहीं होता है, तो यहां यहां जाता है:

नमक के दो अलग-अलग उपयोग

मैंने कई ट्यूटोरियल देखे हैं जो नमक को निम्नलिखित के रूप में इस्तेमाल करते हैं:

$hash = md5($salt.$password)

[…]

मैंने देखा है कि अन्य उपयोग मेरे लिनक्स सिस्टम पर है। / Etc / shadow में hashed पासवर्ड वास्तव में नमक के साथ जमा किए जाते हैं।

आपको हमेशा पासवर्ड के साथ नमक स्टोर करना पड़ता है, क्योंकि उपयोगकर्ता को आपके पासवर्ड डेटाबेस में प्रवेश करने के लिए सत्यापित करने के लिए आपको नमक के साथ इनपुट को गठबंधन करना होगा, यह हैश और संग्रहीत हैश में इसकी तुलना करना है।

हैश की सुरक्षा

अब इंद्रधनुष तालिका वाला कोई व्यक्ति हैश को बदल सकता है और इनपुट "फ़ोबर" के साथ आ सकता है।

[…]

चूंकि te5SBM.7C25fFDu6bIRbX के रिवर्स हैश "foo" को शामिल करने के लिए जाना जाता है

हैश को उलट करना संभव नहीं है (सिद्धांत रूप में, कम से कम)। "फू" के हश और "नमकीन" का हैश आम में कुछ नहीं है क्रिप्टोग्राफिक हैश फ़ंक्शन के इनपुट में एक बिट को बदलने से आउटपुट को पूरी तरह से बदलना चाहिए।

इसका मतलब है कि आप सामान्य पासवर्ड के साथ एक इंद्रधनुष तालिका नहीं बना सकते हैं और बाद में कुछ नमक के साथ "अपडेट" कर सकते हैं। शुरुआत में आपको नमक को ध्यान से लेना होगा

यही कारण है कि आपको पहली जगह में इंद्रधनुष की मेज की आवश्यकता क्यों है क्योंकि आप हैश से पासवर्ड नहीं प्राप्त कर सकते हैं, आप सबसे संभावित उपयोग किए जाने वाले पासवर्ड के सभी हैशों को प्रीकंपुपुट कर सकते हैं और फिर अपने हैश की तुलना उनके हैश से कर सकते हैं।

नमक की गुणवत्ता

लेकिन $salt=foo कहें

"फू" नमक के बहुत खराब विकल्प होगा आम तौर पर आप एक यादृच्छिक मूल्य का उपयोग करेंगे, एएससीआईआई में एन्कोडेड

इसके अलावा, प्रत्येक पासवर्ड में यह खुद का नमक है, प्रणाली पर अन्य सभी लवणों से अलग (उम्मीद है)। इसका मतलब यह है कि, हमलेवर को प्रत्येक पासवर्ड को व्यक्तिगत रूप से आक्रमण करने की बजाय उम्मीद है कि एक हैश उसके डेटाबेस में मानों में से एक से मेल खाती है।

आक्रमण

अगर कोई हैकर इस फाइल पर अपना हाथ पाने में सक्षम था, तो मुझे नहीं पता कि नमक क्या करता है,

एक इंद्रधनुष तालिका हमले हमेशा /etc/passwd (या जो भी पासवर्ड डेटाबेस का उपयोग किया जाता है) की आवश्यकता होती है, अन्यथा आप वास्तविक पासवर्ड के हैश में इंद्रधनुष तालिका में हैश की तुलना कैसे करेंगे?

उद्देश्य के लिए: मान लें कि हमलावर 100,000 सामान्यतः इस्तेमाल किए गए अंग्रेजी शब्दों और ठेठ पासवर्ड (लगता है कि "गुप्त") के लिए इंद्रधनुष तालिका बनाना चाहता है। नमक के बिना उसे 100,000 हैशों को प्रीकंपुट करना होगा। यहां तक ​​कि 2 अक्षरों के पारंपरिक यूनिक्स नमक के साथ (प्रत्येक 64 विकल्पों में से एक है: [a–zA–Z0–9./] ) उसे [a–zA–Z0–9./] 9 [a–zA–Z0–9./] गणना और स्टोर करना होगा … काफी सुधार।

नमक के साथ विचार यह है कि सामान्य वर्ण-आधारित पासवर्ड की तुलना में क्रूर बल के साथ यह अनुमान लगाने में अधिक कठिन होता है। इंद्रधनुष तालिकाओं को अक्सर एक विशेष चरित्र सेट के साथ बनाया जाता है, और हमेशा सभी संभावित संयोजनों को शामिल नहीं करते हैं (हालांकि वे कर सकते हैं)।

तो एक अच्छा नमक मूल्य एक यादृच्छिक 128-बिट या अधिक पूर्णांक होगा यह वही है जो इंद्रधनुष-टेबल हमलों को विफल करता है। प्रत्येक संग्रहीत पासवर्ड के लिए एक अलग नमक मूल्य का उपयोग करके, आप यह भी सुनिश्चित करते हैं कि एक विशेष नमक मूल्य के लिए एक इंद्रधनुष तालिका का निर्माण होता है (जैसा कि मामला हो सकता है यदि आप एक नमक मूल्य के साथ एक लोकप्रिय प्रणाली हो तो) आपको सभी तक पहुंच नहीं देता है एक बार में पासवर्ड

अभी तक एक और महान सवाल है, बहुत से विचारशील उत्तरों के साथ- 1 ए को तो!

एक छोटी सी बात जिसने मैंने स्पष्ट रूप से उल्लेख नहीं किया है, यह है कि, प्रत्येक पासवर्ड को यादृच्छिक नमक जोड़कर, आप वास्तव में इसकी गारंटी दे रहे हैं कि एक ही पासवर्ड चुनने वाले दो उपयोगकर्ता अलग-अलग हैश पैदा करेगा।

यह महत्वपूर्ण क्यों है?

नॉर्थवेस्ट यूएस में एक बड़ी सॉफ्टवेयर कंपनी में पासवर्ड डेटाबेस की कल्पना करो मान लीजिए इसमें 30,000 प्रविष्टियां हैं, जिनमें से 500 में पासवर्ड ब्लूस्स्क्रीन है मान लीजिए कि एक हैकर इस पासवर्ड को प्राप्त करने का प्रबंधन करता है, इसे उपयोगकर्ता से आईटी विभाग को ईमेल में पढ़कर कहें। यदि पासवर्ड अनसाल्टेड हैं, तो हैकर डेटाबेस में हैशेड मान पा सकता है, फिर इसे अन्य 499 खातों तक पहुंच बनाने के लिए बस पैटर्न-मैच कर सकते हैं।

पासवर्ड को नमस्कार यह सुनिश्चित करता है कि प्रत्येक 500 खातों में एक अद्वितीय (नमक + पासवर्ड) होता है, उनमें से प्रत्येक के लिए एक अलग हैश पैदा करता है, और इस तरह एक खाते में उल्लंघन को कम करता है। और आशा करते हैं, सभी संभावनाओं के खिलाफ, कि किसी भी उपयोगकर्ता को एक ईमेल संदेश में एक सादा पाठ लिखने के लिए पर्याप्त अनुभवहीन अगले ओएस के लिए undocumented API तक पहुंच नहीं है।

मैं लवण लगाने के लिए एक अच्छी विधि की खोज कर रहा था और नमूना कोड के साथ यह उत्कृष्ट लेख पाया:

http://crackstation.net/hashing-security.htm

लेखक प्रति उपयोगकर्ता यादृच्छिक लवण का उपयोग करने की सिफारिश करता है, ताकि नमक तक पहुंच प्राप्त करने के लिए पूरी तरह से हैश की पूरी सूची को रेंडर करने में आसान नहीं होगा।

एक पासवर्ड स्टोर करने के लिए:

  • एक सीएसपीआरएनजी का इस्तेमाल करते हुए लंबे यादृच्छिक नमक उत्पन्न करें।
  • पासवर्ड को नमक के लिए तैयार करें और इसे SHA256 जैसे मानक क्रिप्टोग्राफ़िक हैश फ़ंक्शन के साथ हैश करें।
  • उपयोगकर्ता के डेटाबेस रिकॉर्ड में नमक और हैश दोनों को बचाएं

एक पासवर्ड मान्य करने के लिए:

  • डेटाबेस से उपयोगकर्ता का नमक और हैश पुनर्प्राप्त करें
  • दिए गए पासवर्ड को नमक के लिए तैयार करें और एक ही हैश फ़ंक्शन का उपयोग करके हैश करें।
  • डेटाबेस से हैश के साथ दिए गए पासवर्ड के हैश की तुलना करें। यदि वे मैच करते हैं, तो पासवर्ड सही है। अन्यथा, पासवर्ड गलत है।

एक नमक इंद्रधनुष-मेज पर हमला विफल हो सकता है, क्योंकि नमक के एन-बिट्स के लिए, इंद्रधनुष तालिका को नमक के बिना तालिका के आकार से 2 ^ n गुणा बड़ा होना चाहिए।

नमक के रूप में 'फू' का उपयोग करने के आपका उदाहरण इंद्रधनुष तालिका 16 मिलियन गुना बड़ा बना सकता है।

कार्ले का 128-बिट नमक के उदाहरण को देखते हुए, यह तालिका 2 ^ 128 गुना बड़ा बनाता है – अब यह बड़ा है – या किसी अन्य तरीके से, किसी के पास पोटेबल भंडारण बड़ा है कितना समय पहले?

हैश आधारित एन्क्रिप्शन को तोड़ने के अधिकांश तरीके ब्रूट बल आक्रमणों पर भरोसा करते हैं। एक इंद्रधनुष हमले अनिवार्य रूप से एक अधिक कुशल शब्दकोश हमले है, यह डिज़ाइन करने के लिए डिजिटल स्टोरेज की कम लागत का उपयोग करने के लिए डिज़ाइन किया गया है जो संभवतः हैश के लिए संभावित पासवर्ड के एक महत्वपूर्ण सबसेट का नक्शा तैयार करता है, और रिवर्स मानचित्रण की सुविधा प्रदान करता है। इस तरह के हमले का काम होता है क्योंकि कई पासवर्ड या तो काफी कम होते हैं या शब्द आधारित प्रारूपों के कुछ पैटर्नों में से एक का उपयोग करते हैं।

इस तरह के हमले ऐसे मामलों में अप्रभावी होते हैं जहां पासवर्ड में बहुत अधिक वर्ण होते हैं और सामान्य शब्द आधारित स्वरूपों के अनुरूप नहीं होते हैं। आरंभ करने वाला एक मजबूत पासवर्ड वाला उपयोगकर्ता हमले के इस शैली के लिए असुरक्षित नहीं होगा। दुर्भाग्य से, बहुत से लोग अच्छे पासवर्ड नहीं उठाते हैं लेकिन एक समझौता है, आप उसमें यादृच्छिक कचरा जोड़कर उपयोगकर्ता का पासवर्ड सुधार सकते हैं। तो अब, "शिकारी 2" के बजाय उनका पासवर्ड प्रभावी रूप से "शिकारी 2 9 08! फल्ड 2 आर 75 (आर 7/508-पीईज़ = U430") हो सकता है, जो कि एक बहुत मजबूत पासवर्ड है हालांकि, क्योंकि अब आपको यह अतिरिक्त पासवर्ड घटक संग्रहीत करना है, इससे मजबूत संमिश्र पासवर्ड की प्रभावशीलता कम हो जाती है जैसा कि यह पता चला है, अब भी इस तरह की योजना के लिए एक शुद्ध लाभ है, क्योंकि अब प्रत्येक पासवर्ड, कमजोर भी, एक ही पूर्व-गणनायुक्त हैश / इंद्रधनुष तालिका के लिए कमजोर नहीं हैं। इसके बजाय, प्रत्येक पासवर्ड हैश प्रविष्टि केवल एक अद्वितीय हैश तालिका के लिए कमजोर है।

कहें कि आपके पास ऐसी कोई साइट है जिसकी कमज़ोर पासवर्ड शक्ति आवश्यकताएं हैं। यदि आप अपने सभी हैशों पर कोई पासवर्ड नमक का उपयोग नहीं करते हैं, तो पूर्व-गणनायुक्त हैश तालिका के लिए असुरक्षित हैं, इस प्रकार आपके हैश तक पहुंचने वाले किसी व्यक्ति को अपने उपयोगकर्ताओं के एक बड़े प्रतिशत (हालांकि कई उपयोग किए जाने वाले कमजोर पासवर्ड के लिए पासवर्ड तक पहुंच प्राप्त होगी) पर्याप्त प्रतिशत) यदि आप एक निरंतर पासवर्ड नमक का उपयोग करते हैं तो पहले से गणना की गई हैश तालिका अब मूल्यवान नहीं होती है, इसलिए किसी को उस नमक के लिए एक कस्टम हैश तालिका की गणना करने के लिए समय बिताना होगा, वे इतनी वृद्धिशील रूप से कर सकते हैं, हालांकि कंप्यूटिंग टेबल जो कभी भी अधिक क्रमपरिवर्तनों को कवर करते हैं समस्या अंतरिक्ष की सबसे कमजोर पासवर्ड (जैसे सरल शब्द आधारित पासवर्ड, बहुत कम अल्फ़ान्यूमेरिक पासवर्ड) घंटे या दिनों में टूट जाएंगे, कम असुरक्षित पासवर्ड कुछ हफ्तों या महीनों के बाद टूटेंगे। जैसे ही किसी हमलावर पर समय लगता है, वैसे ही आपके उपयोगकर्ताओं के लगातार बढ़ते प्रतिशत के लिए पासवर्ड तक पहुंच प्राप्त होगी। यदि आप प्रत्येक पासवर्ड के लिए एक अद्वितीय नमक का उपयोग करते हैं, तो इसमें उन सभी कमजोर पासवर्डों तक पहुंच प्राप्त करने में दिन या महीनों लगेंगे।

जैसा कि आप देख सकते हैं, जब आप नमक से लगातार नमक तक एक अद्वितीय नमक तक कदम रखते हैं, तो आप हर कदम पर कमजोर पासवर्ड को हल करने के प्रयास में भारी वृद्धि के कई आदेशों को लागू करते हैं। नमक के बिना, आपके उपयोगकर्ताओं के पासवर्ड के सबसे कमजोर तुच्छ हैं, एक निरंतर नमक के साथ, एक निश्चित हमलावर के लिए उन कमजोर पासवर्ड सुलभ होते हैं, एक अद्वितीय नमक के साथ पासवर्ड तक पहुंचने की लागत इतनी ऊंची हो जाती है कि केवल सबसे अधिक निर्धारित हमलावर पहुंच प्राप्त कर सकें कमजोर पासवर्ड के एक छोटे समूह के लिए, और फिर केवल महान व्यय पर।

जो बिल्कुल ठीक स्थिति है। आप कभी भी गरीब पासवर्ड विकल्प से उपयोगकर्ताओं को पूरी तरह से नहीं बचा सकते, लेकिन आप अपने उपयोगकर्ताओं के पासवर्ड को उस स्तर से समझौता करने की लागत बढ़ा सकते हैं, जो एक उपयोगकर्ता के पासवर्ड को भी निषिद्ध रूप से महंगा बना देता है।

लाइकिंग का एक उद्देश्य प्रीकंपुक्टेड हैश तालिकाओं को पराजित करना है अगर किसी के पास लाखों प्री-कंप्यूट किए गए हैशों की सूची है, तो वे अपने तालिका में $ 1 $ foo $ te5SBM.7C25fFDu6bIRbX1 को देखने में सक्षम नहीं होंगे, भले ही वे हैश और नमक को जानते हों। उन्हें अभी भी जबरदस्त बल दिया जाएगा।

एक और उद्देश्य, जैसा कि कार्ल एस का उल्लेख है कि क्रूर को हैशों की एक सूची को और अधिक महंगी के लिए मजबूर करना है (उन्हें सभी अलग लवण दें)

इन दोनों उद्देश्यों को अभी भी पूरा किया जा चुका है, भले ही लवण सार्वजनिक हो।

जहां तक ​​मुझे पता है, नमक का मतलब यह है कि हमलों को कठिन बनाने के लिए

यह एक ज्ञात तथ्य है कि बहुत से लोगों को प्रतीत होता है यादृच्छिक स्ट्रिंग्स के बजाए पासवर्ड के लिए सामान्य शब्द का उपयोग होगा।

इसलिए, एक हैकर सिर्फ इसका इस्तेमाल करने के बजाय अपने बल में इसका इस्तेमाल कर सकता है। वह एएए, एएबी, एएसी जैसे पासवर्ड की खोज नहीं करेगा … लेकिन इसके बजाय शब्दों और सामान्य पासवर्ड का प्रयोग करें (जैसे रिंग के नाम के स्वामी!;))

तो अगर मेरा पासवर्ड Legolas है तो एक हैकर कोशिश कर सकता है और इसे "कुछ" प्रयासों के साथ अनुमान लगा सकता है हालांकि अगर हम पासवर्ड को नमक करते हैं और यह फूलेगोलस हो जाता है तो हैश अलग होगा, इसलिए शब्दकोश हमले असफल होंगे।

उम्मीद है की वो मदद करदे!

मुझे लगता है कि आप PHP — md5 () फ़ंक्शन का उपयोग कर रहे हैं, और $ पहले वाले चर – तो, ​​आप इस लेख को छाया पासवर्ड HOWTO विशेष रूप से 11 वां अनुच्छेद देखने का प्रयास कर सकते हैं।

इसके अलावा, आप संदेश डाइजेस्ट एल्गोरिदम का इस्तेमाल करने से डरते हैं, आप असली सिफर एल्गोरिदम की कोशिश कर सकते हैं, जैसे एमक्रिप्शन मॉड्यूल द्वारा प्रदान किए गए हैं, या अधिक मजबूत संदेश डाइजेस्ट एल्गोरिदम, जैसे कि जो mash मॉड्यूल प्रदान करते हैं (sha1, sha256 , और अन्य)।

मुझे लगता है कि मजबूत संदेश डायजेस्ट एल्गोरिदम एक चाहिए यह ज्ञात है कि MD5 और SHA1 में टक्कर की समस्याएं हैं।