Ady Wicaksono wrote:
betul sekali bung Ronny, ketika sebuah form di-submit(), hasil MD5 dari entri textfield password yang dikirimkan
> ke server, sisi server kan tinggal
melakukan pencocokan password dengan cara meng-MD5-kan
> password yang ada di server, gitu saja (without HTTPS ->
Saat cracker menangkap password yang sudah di md5() dia bisa mencari kata yang hasil md5(collided_password) nya sama dengan md5(original_password) Sebab masalahnya md5 itu hash function, yang bisa dipastikan tidak luput dari "collision" alias tidak 100% one to one: Artinya dua (atau lebih) "kata" bisa memiliki MD5SUM yang sama. Logikanya: string/file yang panjang/besarnya berapa saja SELALU terkompress kedalam satu string yang panjangnya cuma 16 huruf (128 bit), Pasti bukan lossless "compression". BTW, silakan Google md5crack. ;) -- +-R-| Mozilla 1.0.1 Gecko/2002 |-H-| Powered by Linux 2.4.x |-7-+ |/v\ Agus Budy Wuysang MIS Department | | | Phone: +62-21-344-1316 ext 317 GSM: +62-816-1972-051 | +------------| http://www.fasw.co.id/person/supes/ |-------------+ -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
