LINUX.ORG.RU

Секьюрно ли MD5 хеш с солью для API ключа пользователя

 , ,


0

1

То что как хеш функция MD5 умер - не предмет для разговора, но тут другой паттерн: мы не коллизии ищем, а пытаюемся сгенерить псведослучайную строку из каких-то исходных данных.

Требование заказчика, поэтому и возник вопрос.

В абсолютном большинстве сервисов, судя по сгенерированным API ключам (для доступа к сервису) и их длинне это как раз MD5 или подобное, если мне где-то встречалась действительно длинная строка-ключ, то это в рамках исключения и то не точно.

Генерировать «хеш» предлагается из ID + SECRET_KEY (аля что у джанги, например). Причем известно, ID - это число длиное 5-6 символов. API ключ для доступа к публичному API, соответсвенно.

Что могут на это все сказать уважаймые эксперты?

★★★

На ЛОРе кука — это хеш от пароля.

anonymous ()

мы не коллизии ищем, а пытаюемся сгенерить псведослучайную строку из каких-то исходных данных.

И что, эта псевдострока не должна быть уникальной?

anonymous ()
Ответ на: комментарий от Legioner

Пасиб. Тут народ просто не понимает, что это требование заказчика.

BigAlex ★★★ ()

чтобы понять насколько это секурно можешь представить что все твои хеши скомпрометированы вместе с числами которые представлены в ID, затем посчитать сколько уйдет времени (ресурсов) на поиск коллизий

если затраты вычислительной мощности намного превышают предполагаемую выгоду от такого злоумышления - достаточно секурно

если нет - лесом.

anonymous ()

А чем UUID не устроил?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.