-
Data: 2013-01-22 15:45:42
Temat: Re: kodowanie haseł
Od: Michoo <m...@v...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 22.01.2013 13:11, bartekltg wrote:
> W dniu 2013-01-22 02:53, M.M. pisze:
>> Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?
>> Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
>> jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny. Gdzieś
>> czytałem że md5 został rozpracowany - nie wiem znaczy słowo
>> "rozpracowany",
>> ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie
>> używać.
>
> Zwróć uwagę na to, o czym prawie kulturalnie mówił Stachu
> wczoraj a daniel rzucił linka. Jeśli poza bazą danych o hasłach
> (hash i 'sól')wycieknie też metoda kodowania (a czemu ma nie
> wyciec, skoro baza wyciekła, o ile wręcz nie jest jawna) to
> jesteśmy podatni na atak przez ręczne md5 wszystkich możliwych
> haseł. Jeśli nie są one zbyt długie, jest to robialne.
>
> Sól daje to, że operację trzeba powtórzyć dla każdego użytkownika,
> zamiast za jednym zamachem mieć odkodowanych wszystkich,
> ale to niewielka pociecha, gdy np Ty jesteś celem;)
Ale z tego co rozumiem on dodawał losowe znaki (nie wiem po co w "kilku
miejscach").
XOR hasła z losowym dwubajtowym (nie zapisywanym) ciągiem jest znaną
metodą na:
- proste zwiększenie złożoności łamania hasła przy zachowaniu
istniejącej infrastruktury (średnio 32k razy, w praktyce więcej, bo
wynik jest z przedziału 0-255 a nie alfanum)
- uniemożliwienie użycia "złamanego" hasła (po znalezieniu odwzorowania
hash - String nadal ma się ~64k możliwości do zbadania)
(Zamiast XOR można użyć też doklejenie, ale nie powoduje to drugiego
bonusu.)
--
Pozdrawiam
Michoo
Następne wpisy z tego wątku
- 22.01.13 15:57 M.M.
- 22.01.13 16:04 Michoo
- 22.01.13 16:07 bartekltg
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
- 22.01.13 16:38 Michoo
- 22.01.13 16:38 M.M.
- 22.01.13 16:41 M.M.
- 22.01.13 16:51 M.M.
- 22.01.13 17:27 Stachu 'Dozzie' K.
- 22.01.13 17:29 Stachu 'Dozzie' K.
Najnowsze wątki z tej grupy
- Alg. kompresji LZW
- Popr. 14. Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- Arch. Prog. Nieuprzywilejowanych w pełnej wer. na nowej s. WWW energokod.pl
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
Najnowsze wątki
- 2025-02-23 Orange Free na kartę - coś się popsuło
- 2025-02-23 Ciekawy wyrok Sadu Najwyzszego USA
- 2025-02-22 spalinki
- 2025-02-22 Warszawa => Presales Engineer IT <=
- 2025-02-22 Warszawa => Kierownik ds. kluczowych Klientów <=
- 2025-02-22 Spalinki:)
- 2025-02-23 Useme
- 2025-02-22 Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- 2025-02-21 Warszawa => Key Account Manager IT <=
- 2025-02-21 Warszawa => Data Engineer (Tech Lead) <=
- 2025-02-21 Aliexpress zaczął oszukiwać na bezczelnego.
- 2025-02-21 Warszawa => System Architect (Java background) <=
- 2025-02-21 Kula w łeb
- 2025-02-21 Warszawa => System Architect (background deweloperski w Java) <=
- 2025-02-21 Warszawa => Solution Architect (Java background) <=
ATAL kontynuuje inwestycję Skwer Harmonia
