On Thursday, November 13, 2014 12:35:19 AM UTC+1, bartekltg wrote:
> Trzeba podejść do sprawy paranoicznie. Za zol uzywamuy liczby
> wygenerowanej dla hasła użytkownika i liczby zapisanej w kodzie.
> ;-)
Zgadzam się że trzeba podejść paranoicznie.

>
>
> > Może ja zacznę tę listę, a Ty
> > ją skorygujesz i rozbudujesz - jeśli mogę prosić.
> >
> > 1) Nie można ustalić kto ma takie same hasła na podstawie listy
> > loginów i zakodowanych haseł.
> > 2) Nie można łamać wszystkich haseł na raz.
> >
> > Co jeszcze? Co dalej?
>
> A nie wystarczy?
Czy wystarczy czy nie, to temat rzeka. Żeby sensownie rozmawiać, to
byśmy musieli mieć rozkład prawdopodobieństwa poszczególnych ataków i
straty gdy atak się powiódł. Nie mam takich danych. Może niech każdy
sam sobie odpowie czy to wystarczy czy nie. Dla mnie osobiście to mało :)


Mnie zaciekawił ten wątek, a że nie jestem specjalistą od
zabezpieczeń, to staram się ustalić precyzyjną i kompletną
listę zalet.


> Raz unikamy ataku statystyką i słownikiem,
Słownikiem chyba nie unikniemy dzięki różnym solom.


> którego koszt jest praktycznie darmowy, za drugim zwiększamy
> koszt obliczeniowy ataku *liczba użytkowników, czyli potencjalnie
> miliony razy.
Tak, to jest zaleta różnych soli.


Pozdrawiam