[firebase-br] Opniao em criptografia

[Gladiston Santana]

Todo hash é quebrável por força bruta, a questão é o tempo e a relevância
da senha.
Como as pessoas gostam de usar datas e nomes como senha, então o algorítimo
que tenta quebrá-lo fica comparando usando um dicionário morfológico (que
usa regex), mas fica muito difícil para esses programas automáticos de
força bruta se você usar uma senha desconexa como A@#1vhz9, quanto mais
algarismo, melhor fica.

Se o hash fosse para autenticar-se, isso seria um problema porque um ataque
de dicionário testaria tudo mesmo que acabassem as ocorrências do
dicionário até conseguir logar-se - daí o fator tempo -, porém se usado
deliberadamente para esconder uma informação no banco de dados então
torna-se inquebrável porque um hash sempre produzirá um valor que você não
tem como saber se é certo ou errado, daí minha dica de usar um campo extra
para guardar um checksum da informação - que poderia ser excluído e dar
ainda mais segurança.

inte+

Em 10 de dezembro de 2014 09:57, Gustavo Luis Hinterholz <
gustavoluishinterholz em gmail.com> escreveu:

> Só lembrando que se o MD5 atualmente já é "quebrável", para testes pode:
> *Gerar um aqui*
> http://www.miraclesalad.com/webtools/md5.php
> *E fazer o decrypt aqui:*
> http://www.hashkiller.co.uk/md5-decrypter.aspx
>
> Ou seja, se alguem tivesse acesso ao MD5 puro, sem criptografia seria fácil
> de conseguir a string inicial.
> Eu recomendaria o SHA256 como o melhor custo benefício, nunca precisei
> implantar em nenhum projeto no firebird com cripto e hash, somente em
> outros bancos, por isso não sei te dar o caminho das pedras, mas na minha
> opinião eu não utilizaria o MD5.
> Mas é com o Gladiston falou, vai depender do nivel de segurança que
> necessitas e de quais informações vai precisar "esconder" caso alguem
> consiga o acesso as informacoes do BD.
>
>
> Att
> Gustavo Luis Hinterholz
> 9381-8192
> *http://gustavohinterholz.blogspot.com.br/