Ukládat přihlašovací hesla uživatelů je lumpárna největšího kalibru. To programátoři nevěděli k čemu slouží md5sum, sha1sum nebo sha256sum? Kdyby ukradli jen heše, nic by se nestalo. Už jen za to bych tvrdě trestal - pokud se ovšem nejednalo o úmysl.

Záleží, jaké hashe by to byly. Na MD5 existují dekryptovací on-line služby (zadáte hash, zobrazí se vám heslo), možná už i na SHA1.

Odkaz prosím... Těch hesel by muselo být nekonečně mnoho a to správné by nebylo možno dohledat. Rád se na takovou stránku podívám.

Zkoušel jsem několik stránek a žádná nefunguje. Některé dokonce hledají v nějakých databázích shodu - to je úplně stupidní. Už 15 let je napsána řada článků alespoň o útoku kolizí, ale realita nikde. Ale jak jsem již uvedl, i kdyby to byla pravda, správné heslo by se stejně nepodařilo dohledat.

To je kravina. MD5 je kompovany algoritmus ale neni masove "odhesovatelny" v realnem case. Navic MD5 se nepouziva, ne proto, ze by byl realne prolomitelny ale proto, ze existuje hypoteticka sance, ze 2 rozdilne texty daji stejny hash.

Souhlas, už se nepoužívá. Ale pro nějaký průměrný e-shop je to dostatečná ochrana proti zneužití. Přece to není bankovní aplikace a pořád je lepší něco, než nic.

Obecně čistý hash není dostatečný.

K dobrému algoritmu je potřeba také solit a hashovat opakovaně.

MD5 se masove pouzival leta a neznam pripad, kdyz by ho nekdo prolomil.

MD5 má zásadní problémy, ale i kdyby neměla, čistý hash je zranitelný vůči slovníkovému útoku.

Více se rozepsal pan Žižka ve vedlejším komentáři.

Ano, sůl třeba spolehlivě zajistí, že nebude možné dohledat, že se stejné heslo opakovaně užívá a hlavně se tím vyloučí dohledání slovníkových slov. Jakékoliv zabezpečení je lepší než ukládat heslo v prostém textu. Vzorově je to řešeno v souboru stínových hesel (shadow).