چرا MD5 را نمیتوان decode کرد؟

Question

چرا الگوریتم md5 یک طرفه است و نمی توان از Hash تولید شده به مقدار رسید؟

Answer 1

دلیل اینکه نمیشه کدهای تولید شده توسط الگوریتم ها ی md5 رو دیکد کرد اینه که کدهای تولید شده با Salt تلفیق میشن . Saltیه مقدار رندم هست. Salt یک String یا رشته تصادفی است که به رمزعبور هش شده لینک می گردد و مجددا هش می شود. آنگاه مقدار سالت و نتایج هش در دیتا بیس ذخیره می گردند.

اگر یک هکر بخواهد به رمزهای عبور مرتبط با نام های کاربری شما دست پیدا کند، ابتدا باید هش های سالت را کشف کند که برای این کار حمله فرهنگ لغات تقریبا غیر قابل استفاده است.

Comments

پس چرا همیشه یک کلید به یک Hash تبدیل می شود؟

---

بعضی از الگوریتمها برای بالا بردن امنیت پسوردها از Salt استفاده میکنند این عمل باعث میشود پیچیدگی پسورد زیادتر و شکستن آن سختتر شود اگر دو کلیدعین هم با این الگوریتم hash شود hashها عین هم نخواهند بود

---

پس چرا همیشه با یک پسورد md5 شده می توان لاگین کرد؟ این بدین معناست که همیشه یک کلید تنها و تنها به یک hash ختم می شود.

---

چون با تغییر salt، هش تولید شده تغییر میکنه،در دیتا بیس کنار هش هر کاربر salt  هم ذخیره میشه حالا موقعی که کاربر نام کاربری و پسورد رو بوسیلهء فرم لاگین ارسال میکنه ،هش و salt ذخیره شده برای نام کاربری ارسال شده از دیتابیس بیرون کشیده میشه و بعد با رمز هش شده فعلی مقایسه میشه تا در صورت برابری هش ها اجازه ورود به کاربر رو بده

---

یعنی با داشتن Hash و Salt می توان به کلید رسید؟
اینگونه که باز هم امکان سرقت رمز عبور با دسترسی به پایگاه داده فراهم می شود!

---

فکرکنید یه کلید ساده  مثلا 6 کاراکتری اگه به همراه salt هش بشه (که بعضا ترکیب هش شده salt وکلید رو دوباره با salt هش میکنند) یه رشته 128 بیتی تولید میکنه .حالا اگه هکر بخواد دیکدش کنه باید تمام کاراکترهای عددی و الفبایی وهر نماد دیگه رو هشش کنه و بعد از رو جدولی که میسازه بیاد 128 بیت هش شده رو بازسازی کنه زمانبر هست ولی شدنیه این پروسه رو شاید هکر بتونه برای رمزهای ساده انجام بده و رمز رو پیدا کنه ولی وقتی  تعداد کاراکترها بالای 12تا باشه ورمز پیچیده و ترکیبی از کاراکترهای حروفی وعددی داشته باشه با توجه به تعداد حالات بسیار بسیار بیشماری که ممکنه اتفاق بیفته هکر حتی با داشتن قوی ترین کامپیوتر ها، ممکنه سالها و حتی تا قرن ها نتونه رشته مورد نظرش و کرک کنه.