هل خوارزمية التشفير MD5 أصبحت غير آمنة ويمكن كسرها بسهولة ؟

MD5 تعمية باتجاه واحد، وهو ما يجعلها نظريا مستحيلة الكسر، والبرامج التي تتحدث عنها تعتمد على قاعدة بيانات تحتوي على مجموعة كبيرة من البيانات المعماة بنفس الخوارزمية، بمعنى آخر فإن هذه البرامج لا تفكها وإنما تقارن كلمات أخرى معماة، لهذا تجدها لا تستطيع فك كل النصوص المعماة، مع أن هناك من وجد بعض الطرق لفكها جزئيا والله أعلم.

أجل أصبحت غير آمنة بسبب شعبيتها الكبيرة لذلك من الأفضل إستعمال SHA في الهاش مع ضرورة استعمال Salt

مثلا:

$password = 'arabia';
$salt = '#0\-%';
$password = hash('sha512', $password . $salt);

MD5 ليس بها مشكل يجب عمل salt كما ذكر الأخوة , أو على الأقل إستعملها كماهي , ما زلت أصادف سكربتات تخزن كلمات المرور بدون أي تشفير

هي هي غير آمنة.

لا تستخدم SHA256 أو حتى SHA512

يستحسن أن تستعمل PBKDF2 - https://en.wikipedia.org/wi...

و الأسباب:

• تحمي ضد الهجمات بالقواميس و المواقع التي فيها قائمة كبيرة للهاشات.

• فيها خاصية إبطاء التخمين.

• آمنة كفاية و مشهورة.

هذا مثال قريب قليلا لأمان PBKDF2 يوضح كيف تقوم بالأمر بشكل صحيح:

md5 كانت ولا زالت تمتلك شعبية كبيرة لأنها أتبتث جدارتها في التسفير لسنوات - لكن المشكل هو أن توسعها الكبير في مختلف البرمجيات

جعل منها محط الأعين - وتم جمع قواعد بيانات ضخمة تستعمل للمقارنة لايجاد فك التشفير نسبيا

لكن الأمر غير مضمون بالطبع ولكن لسوء الحظ الأمر يعتمد على كلمة السر بالتأكيد بحيث بامكانك فك معضم كلمات السر السهلة

توجد عدة طرق لضمان تشفير امن نسبيا

مثلا اعادة تشفير كلمة السر

$password = md5(md5(md5($password)));

لكن دلك لا يزيد شيئا غير مدة فك التشفير

ومع دللك بالامكان استخدام md5 للتشفير باضافة تشفير تاني لها

عادة استخدم هدا الكلاس لاعادة تشفير md5 - بامكانك استخدام مفتاح خاص بك لاعادة التشفير

var $skey = "your-key";

class crypte { //do not change it again (loknhytgvfrredcsxea) var $skey = "loknhytgvfrredcsxea";

public  function safe_b64encode($string) {
    $data = base64_encode($string);
    $data = str_replace(array('+','/','='),array('-','_',''),$data);
    return $data;
}

public function safe_b64decode($string) {
    $data = str_replace(array('-','_'),array('+','/'),$string);
    $mod4 = strlen($data) % 4;
    if ($mod4) {
        $data .= substr('====', $mod4);
    }
    return base64_decode($data);
}
//// Encode ////
public  function encode($value){ 
    if(!$value){return false;}
    $text = $value;
    $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
    $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
    $crypttext = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $this->skey, $text, MCRYPT_MODE_ECB, $iv);
    return trim($this->safe_b64encode($crypttext)); 
}
//// Decode ////
public function decode($value){
    if(!$value){return false;}
    $crypttext = $this->safe_b64decode($value); 
    $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
    $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
    $decrypttext = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $this->skey, $crypttext, MCRYPT_MODE_ECB, $iv);
    return trim($decrypttext);
}

}

يمكنك هدا الكلاس من تشفير و اعادة الفك

لحد الان لا يوجد أي فك تشفير مضمون ل md5 فمعضمها يعتمد على قواعد بيانات ضخمة تقوم بالمقارنة لفك التشفير نسبيا.

1. ليست تشفير وإنما قطع باتجاه واحد

2. البديل هو أن تكون salted بمعنى يتم حفظ salt عشوائي مختلف إلى جانب كلمة السر

3. الخوازميات البديلة هي sha مثل sha128 إلى sha512 (الأفضل)

المشكلة الحقيقية ليس في خوارزمية التشفير بل بطريقة استخدامها

مثلا اذا قام المبرمج بتطبيق حماية كلمة المرور بالشكل التالي فقط

$password = md5($password)

فما ذنب الخوارزمية ؟

في حال كان الموقع يحتاج لحماية كلمة المرور بشكل أكبر (كمواقع التجارة الالكترونية)

يمكن اضافة محارف اضافية و يمكن عدم السماح للمستخدم بادخال كلمة مرور مثل (123456789)

هذه من ملف manual لأداة md5sum على لينُكس:

The MD5 algorithm should not be used any more for security related purposes. Instead, better use an SHA-2

algorithm, implemented in the programs sha224sum(1), sha256sum(1), sha384sum(1), sha512sum(1)

https://www.google.com.sa/s...

اصبح فك تشفيرها اون لاين ولايتطلب اي جهد يارجل !