Re: [OT] how store in database
>
>
>
>Un saluto a tutta la lista,
>Come non cogliere l'occasione di stravolgere qualcosa che funziona :(. Bando alle ciancie che gia' sono OT, la domanda come da oggetto e' di chidervi che tipi di hash o funzioni crittografiche usate Voi per memorizzare le pass in un db, nel caso specifico le password sono di un mail server, quind postfix e dovecot dovranno saperle leggere ma non credo questo sia un gran problema, fino ad oggi erano stati usati dei debolissimi hash in md5 alcune salt-ate altre no, da questo la necessita' di trovare qualcosa di piu' resistente, da quel che so la velocita' dei brute force/dictionary attack sta diventando un bel problemino per queste cose, e da quello che sono riuscito a capire i consigli sono di usare appunto funtzioni molto lente... di modo da ridurre i tempi per calcolarli e provarli... la logica tiene peccato che al momente di consigliare quale funzione usare spunta bcrypt (blowfish)
>
>
>#bcrypt a
>Encryption support disabled. See http://bugs.debian.org/700758
>
Da come la vedo io, tutto dipende dal "valore" che hanno queste password.
Come dire: spendo migliaia di euro per una cassaforte per poi conservarci
dentro degli spiccioli. Non ha senso.
MD5 sicuramente no (è possibile generate collisioni in tempi brevi),
ma degli hash della famiglia SHA sono in genere sufficienti.
sha-1 è stato solo in parte compromesso da alcuni criptoanalisti, gli altri
sono ancora inviolati.
Se vuoi cifrare le password (es: AES, blowfish,ecc) ti ritrovi il problema
di dover proteggere la chiave.
W.
Reply to: