<div dir="ltr">MD5 passwords are only particularly easy to crack because the hashing algorithm is extremely fast and usually they aren't salted. This means you can generate a rainbow table of hashes and then simply match up.<div>
<br></div><div style>Are you trying to ascertain what makes a secure password, or are you trying to ascertain what makes a secure login system?</div><div style><br></div><div style>As a web developer I recommend using a complicated and slow password encryption scheme, such as bcrypt. On top of that, each password should have its own salt. And on top of that, any login system should disable a users account after a set number of failed logins. </div>
<div style><br></div><div style>As for user passwords, I would recommend at least 8 characters and the standard set of uppercase, lowercase, numeric and special characters. Ideally, you should use a password manager instead and use long, complicated (effectively impossible to remember) passwords.</div>
<div style><br></div><div style>Karl</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 25 March 2013 13:01, james morris <span dir="ltr"><<a href="mailto:jwm.art.net@gmail.com" target="_blank">jwm.art.net@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">(sorry for previous attempt, forgot list doesn't allow attachments)<br>
<div class="im"><br>
read an article about password cracking this morning:<br>
<br>
<a href="http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/3/" target="_blank">http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/3/</a><br>
<br>
and being curious decided to try my own passwords. it only seemed to<br>
crack the first word of two (nor the two digit number at end) in my<br>
weakest password.<br>
<br>
then i was curious about long passwords made entirely of words such as:<br>
<br>
longpassworddifficulttocrack<br>
<br>
my tests don't crack that, nor even crackmenow or hardtocrack.<br>
<br>
i'm using the rockyou.txt word list, and only encoding the passwords<br>
as MD5 so expected better results than this.<br>
<br>
</div>here's a bash script to automate password testing to some degree:<br>
<a href="https://github.com/jwm-art-net/password_tester" target="_blank">https://github.com/jwm-art-net/password_tester</a><br>
<br>
it starts with a file of unencoded passwords one per line, runs md5sum<br>
on them, the tries to crack the md5s.<br>
<br>
any tips for making the cracking effort more robust appreciated!<br>
cheers,<br>
james<br>
<br>
_______________________________________________<br>
Kent mailing list<br>
<a href="mailto:Kent@mailman.lug.org.uk">Kent@mailman.lug.org.uk</a><br>
<a href="https://mailman.lug.org.uk/mailman/listinfo/kent" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/kent</a><br>
</blockquote></div><br></div>