Re: kodowanie haseł - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.programming › kodowanie haseł › Re: kodowanie haseł

X-Received: by 10.49.72.169 with SMTP id e9mr4653705qev.3.1358865665547; Tue, 22 Jan
2013 06:41:05 -0800 (PST)
X-Received: by 10.49.72.169 with SMTP id e9mr4653705qev.3.1358865665547; Tue, 22 Jan
2013 06:41:05 -0800 (PST)
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news1.cyf-kr.edu.pl!news.nas
k.pl!news.nask.org.pl!newsfeed.pionier.net.pl!news.glorb.com!p13no4122131qai.0!
news-out.google.com!k2ni1457qap.0!nntp.google.com!p13no4122125qai.0!postnews.go
ogle.com!glegroupsg2000goo.googlegroups.com!not-for-mail
Newsgroups: pl.comp.programming
Date: Tue, 22 Jan 2013 06:41:05 -0800 (PST)
In-Reply-To: <kdm53i$b63$1@node2.news.atman.pl>
Complaints-To: g...@g...com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=89.229.34.123;
posting-account=xjvq9QoAAAATMPC2X3btlHd_LkaJo_rj
NNTP-Posting-Host: 89.229.34.123
References: <kdh7i5$ol5$1@node1.news.atman.pl> <kdh8tg$klt$1@node2.news.atman.pl>
<kdj1b1$sfk$1@news.task.gda.pl>
<f...@g...com>
<kdlvmc$jen$1@node1.news.atman.pl>
<e...@g...com>
<kdm53i$b63$1@node2.news.atman.pl>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <5...@g...com>
Subject: Re: kodowanie haseł
From: "M.M." <m...@g...com>
Injection-Date: Tue, 22 Jan 2013 14:41:05 +0000
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
Xref: news-archive.icm.edu.pl pl.comp.programming:201753
[ ukryj nagłówki ]
W dniu wtorek, 22 stycznia 2013 14:44:16 UTC+1 użytkownik bartekltg napisał:
>
> Dlaczego nic nie da.
> hash = H (haslo, salt).
> Znam H, znam salt (wszytkie liczby losowe dodane w procedurze),
> znam hash.
> Jeśli H liczy się _szybko_, to podstawiam rozsądne hasła
> (niezbyt długie alfanumeryczne + pare znaczków jak "_")
> i po niedługim czasie mam dopasowanie.
Jest znacznie gorzej. Nieuczciwy administrator ma gotowe hasła w
formacie tekstowym i nie musi niczego dekodować, niczego obliczać
ani nie musi mieć wiedzy kryptograficznej. Jak zauważył Maciej Sobczak
takie klucze są niepotrzebne/niewystarczające. Musiałem poradzić sobie
zupełnie inaczej.

> Pytanie było o ten typ ataku. Jak sobie z nim poradzileś
> inaczej niż skomplikowaną (wymagającą długich obliczeń) H?
Nie mogę napisać jak, musiałem poradzić sobie inaczej.

> > jednocześnie śpi spokojnie. Istnieje też prostszy sposób obejścia
> > zabezpieczeń, ale z kolei za ten sposób mój klient przed swoimi klientami
> > nie musi ponosić odpowiedzialności.
> Brzmi to jak spora fuszerka:(
A nie jest fuszerką. Po prostu zanim dane dotrą do komputerów klienta, to
on za ich bezpieczeństwo nie odpowiada. Wszelka logika z kolei podpowiada,
że jakby ktoś chciał przeprowadzić atak, to właśnie by atakował na etapie
wcześniejszym, bo tam łatwiej i taniej.

Pozdrawiam