Originariamente inviato da filippo.toso
Per quello basta fare md5($captcha . $secret), in questo modo è altamente improbabile che uno spammer riesca a bypassare il captcha utilizzando un DB di hash. Ovviamente non si tratta di un sistema ad elevata sicurezza, ma alla fin dei conti si tratta di ridurre lo spam, non di proteggere una web application finaziaria, etc.
trovare delle chiavi che collidono con un dato hash md5 (e se non erro anche sha1) è diventata cosa abbastanza semplice

Nel 2005, alla conferenza EuroCrypt, due ricercatori hanno mostrato com'è possibile trovare chiavi che collidono con l'hash in tempi estremamente ridotti

http://www.brics.dk/eurocrypt05/acceptedpapers.html

How to Break MD5 and Other Hash Functions
Xiaoyun Wang and Hongbo Yu
(Shandong University)
Qui c'è un link dove se ne parla
http://www.financialcryptography.com...es/000394.html

A quest'indirizzo c'è il PDF con le spiegazioni
http://web.archive.org/web/200706042...md5-attack.pdf

Inoltre, come sistema alternativo, giusto per essere più precisi, usando le rainbow table, ovvero pregenerando tutte le varie combinazioni, su una macchina più o meno potente, sempre che non se ne scarichi una già pronta dal web, è possibile craccare l'hash in meno di un ora usando un software che sfrutti le rainbow table per fare il cracking.

Se poi qualcuno trova sul web un implementazione delle specifiche che ho linkato prima ci vorrà molto meno tempo ^^

motivo per il quale, ripeto, un HKEY-MD5, anche se non da la sicurezza assoluta, mette più "rogne"