> Przy losowych "solach" mozesz userowi udostepnic program hashujacy (moze
> byc nawet zrodlowka czy program napisany w jezyku skryptowym - nie musisz
> ukrywac zarowno kodu jak i jakiejkolwiek stalej w nim zawartej) a plik z
> zakodowanymi haslami mozesz upublicznic a i tak zlamanie hasel (nawet jesli
> to sa proste slowa ze slownika) bedzie trudnym zadaniem.
Ja chyba czegoś nie rozumiem. Moim zdaniem będzie łatwym zadaniem.
Pokaż mi gdzie popełniam błąd:
1) Bierzemy słownik.
2) Bierzemy hasło i jego sól
3) Każde słowo ze słownika solimy i hashujemy
4) Wyświeltamy te słowa, które dały taki sam hash, jak w udostępnionych
plikach.

> Przy stalej "soli" (na twardo zapisanej w kodzie) musisz pilnowac
> znacznie wiecej elementow,

> miedzy innymi musisz zadbac o nastepujace sytuacje:
> - user nie moze miec dostepu do zakodowanych hasel innych userow (na
> wypadek gdyby ktos inny uzyl takiego samego hasla)
Nie moze miec dostepu zarówno do hasel i loginow. Jesli zobaczy, ze dwa hasła
są takie same, to nie będzie wiedział, jacy użytkownicy mają takie same
hasła.

> - user nie moze miec dostepu do kodu zrodlowego programu (odpada
> impelementacja w jezyku skryptowym), bo "sol" jest w nim w postaci jawnej,
> a nawet jesli to jakos "zaczarujesz" i ukryjesz jakos w kodzie, to mozna po
> prostu fragment kodu (tym z "czarami") uzyc bezposrednio do metody
> slownikowej
Dlaczego nie można tak zrobić z losową solą?

> - jesli implementacja jest na przyklad w C, to mimo wszystko user moze
> uruchomic ten program pod debuggerem i sledzic jego wykonanie
> (albo zresourcowac kod lub podejrzec "sol" w binarce)
A w przeciwnym rozwiązaniu ma sól zapisaną razem z hasłem - czyli jeszcze
łatwiej ją wyciągnąć niż z pliku binarnego. No chyba że losowa sól leży na
innej maszynie, ale stała sól też może leżeć na innej maszynie.


> Po prostu - losowa "sol" moim zdaniem ma bardzo wiele plusow w stosunku do
> zakodowanej na twardo i moim zdaniem sol zakodowana na twardo wynika
> glownie z lenistwa programisty :D Oczywiscie to tylko moje zdanie - nie
> upieram sie, ze jest jedynym slusznym ;

Możliwe że masz rację, ja tego nie widzę. Mamy dwie sytuacje:
1) wyciekło zakodowane* hasło i losowa sól
2) wyciekło zakodowane* hasło i stała sól
I w jednym przypadku i w drugim odzyskujemy samo hasło burtforcem.

Kolejne dwie sytuacje:
1) wyciekło zakodowane* hasło, używano stałej soli która nie wyciekła
2) wyciekło zakodowane* hasło, używano losowje soli która nie wyciekła
I w jednym przypadku i w drugim odzyskujemy dwie rzeczy: hasło i sól,
przy pomocy burtforcem.

Kolejna sytuacja: wyciekło zakodowane* hasło, nie używano solenia:
1) Łamiemy przy pomocy tęczowych tablic.

*) znany jest algorytm solenia i kodowania.

W jakim miejscu popełniam błąd?

Pozdrawiam







)