Небольшое изменение входных данных может сделать резкое изменение выходного. Другими словами, изменяя один символ в данных, хэш изменится гораздо больше, чем один символ в выходном потоке. Обычно хэш получения выходных данных (и относительно коротких) имеет фиксированную длину, независимо от размера входных данных. Это означает, что несколько входов теоретически могут производить тот же результат, что делает невозможным узнать, какими были исходные данные, если злоумышленник имеет хэшированные данные.

Во-вторых, хэш всегда дает при расшифровке тот же результат, что и при входе. Наиболее очевидное применение для хэшей – хранилище паролей. Веб-приложение на самом деле не должно знать пароль пользователя – просто необходимо; он нужен, чтобы убедиться, что лица, запрашивающие доступ, знают пароль. Если мы делаем хэш паролей во время создания и авторизации, мы только должны хранить и сравнивать результаты операции хеширования, чтобы знать, что начальные данные паролей были одинаковы. Тогда даже если пользовательская база данных подвергается краже, злоумышленник не имеет ничего полезного для работы. По крайней мере, так выглядит все с точки зрения здравого смысла.

На самом деле, это не так просто. Во-первых, не все алгоритмы хеширования созданы равными. Когда-то популярный алгоритм MD5, например, в настоящее время стал подвергаться критике из-за того, что он криптографически слаб в целом (хотя он по-прежнему используется для паролей). Во-вторых, мы знаем, что многие люди выбирают те же общие пароли. Это означает, что если злоумышленник знает хэш-значение пароля «123456», то он может легко распознать его в базе данных. Списки предварительно вычисленных хэшей широко доступны и известны в индустрии безопасности на бесплатной основе.

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.