Categories
php sysadmin

MD5 non più sicuro

Pare sia stato reso pubblico l’algoritmo per ottenere collisioni con MD5. Per dovere di cronaca l’MD5 è un algoritmo non reversibile che data una stringa ne calcola un hash (in teoria univoco) spesso usato per criptare i dati, inoltre viene definito collisione il caso in cui due differenti stringhe abbiano lo stesso hash.

Il fatto che sia stato trovato un metodo per trovare stringhe che collidono tra di loro porta l’MD5 ad essere un algoritmo insicuro in quanto non garantirebbe più l’unicità dei dati ottenuti dalla funzione di hashing, inoltre pensate che da un test fatto basterebbe meno di un ora per trovare una stringa su un p4 ad 1.6GHz.

Per farvi capire la criticità della scoperta pensate che la maggior parte delle applicazioni php usa come unico metodo di criptazione delle password MD5. Immaginate cosa potrebbe fare un utente malintenzionato che in qualche modo riesce ad ottenere accesso al db con i dati utente, o al semplice cookie dell’utente dove molti, imprudentemente, salvano il valore della stringa hash della password.

Beh, è tempo di passare tutti a SHA-2!

ciuaz