Słuszna uwaga, dzięki!

W wypadku haseł, które są z reguły krótkie, taka szybkość niekoniecznie jest zaletą, gdyż pozwala na sprawdzanie wielu milionów kombinacji w bardzo krótkim czasie. Dlatego powstały inne funkcje, jak bcrypt czy scrypt, które wyliczają hasza odpowiednio długo, tym samym ograniczając bardzo mocno możliwości ataków typu bruteforce.

Dzięki za trafną uwagę. To faktycznie skrót myślowy 🙂 Mogłem wspomnieć o tak zwanym ataku urodzinowym, który sprowadza się właśnie do wygenerowania odpowiednio dużej ilości danych w celu znalezienia kolizji. Nie wspomnę już o słabościach samych funkcji haszujących. Tutaj przykład powszechnie stosowanego algorytmu MD5:
http://www.computerworld.pl/news/Szybsze-kolizje-MD5,85133.html

Jestem pewien, że wiesz o co chodzi i to skrót myślowy, ale znam przypadki gdy założenie o unikatowości prowadziło do dużych problemów.
Przykładowo, w pewnym systemie stosowano dla widoków w bazie danych funkcję skrótu jako identyfikator wiersza (bo ORM-y wymagają id dla wierszy, a joiny nie pozwalały użyć żadnej z kolumn jako id). Wszystko działa super, ale po paru latach działania systemu gdy liczba danych jest już duża, pojawiają się pierwsze kolizje. Cały problem w tym, że funkcja skrótu nie daje gwarancji unikalności, a wręcz daje gwarancję jej braku przy odpowiedniej ilości danych 🙂

Spoko artykuł z podsumowaniem tematu 🙂