-
Data: 2013-01-22 15:45:42
Temat: Re: kodowanie haseł
Od: Michoo <m...@v...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 22.01.2013 13:11, bartekltg wrote:
> W dniu 2013-01-22 02:53, M.M. pisze:
>> Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?
>> Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
>> jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny. Gdzieś
>> czytałem że md5 został rozpracowany - nie wiem znaczy słowo
>> "rozpracowany",
>> ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie
>> używać.
>
> Zwróć uwagę na to, o czym prawie kulturalnie mówił Stachu
> wczoraj a daniel rzucił linka. Jeśli poza bazą danych o hasłach
> (hash i 'sól')wycieknie też metoda kodowania (a czemu ma nie
> wyciec, skoro baza wyciekła, o ile wręcz nie jest jawna) to
> jesteśmy podatni na atak przez ręczne md5 wszystkich możliwych
> haseł. Jeśli nie są one zbyt długie, jest to robialne.
>
> Sól daje to, że operację trzeba powtórzyć dla każdego użytkownika,
> zamiast za jednym zamachem mieć odkodowanych wszystkich,
> ale to niewielka pociecha, gdy np Ty jesteś celem;)
Ale z tego co rozumiem on dodawał losowe znaki (nie wiem po co w "kilku
miejscach").
XOR hasła z losowym dwubajtowym (nie zapisywanym) ciągiem jest znaną
metodą na:
- proste zwiększenie złożoności łamania hasła przy zachowaniu
istniejącej infrastruktury (średnio 32k razy, w praktyce więcej, bo
wynik jest z przedziału 0-255 a nie alfanum)
- uniemożliwienie użycia "złamanego" hasła (po znalezieniu odwzorowania
hash - String nadal ma się ~64k możliwości do zbadania)
(Zamiast XOR można użyć też doklejenie, ale nie powoduje to drugiego
bonusu.)
--
Pozdrawiam
Michoo
Następne wpisy z tego wątku
- 22.01.13 15:57 M.M.
- 22.01.13 16:04 Michoo
- 22.01.13 16:07 bartekltg
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
- 22.01.13 16:38 Michoo
- 22.01.13 16:38 M.M.
- 22.01.13 16:41 M.M.
- 22.01.13 16:51 M.M.
- 22.01.13 17:27 Stachu 'Dozzie' K.
- 22.01.13 17:29 Stachu 'Dozzie' K.
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-07-01 W-wa naklejki wjazd do centrum
- 2024-07-01 ładowarka zmarła
- 2024-07-01 Koder szuka pracy. Koduję w j.: Asembler, C, C++ (z Qt) i D.
- 2024-07-01 Kraków => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-07-01 Białystok => Full Stack Web Developer (.Net Core, Angular6+) <=
- 2024-07-01 Berlin => Technical Rollouter (Radio Systems Software Installation and
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Gdańsk => Programista Full Stack .Net <=
- 2024-07-01 Zabrze => Junior HelpDesk <=
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Bielsko-Biała => Expert Migration Architect (Azure) <=
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-07-01 CA -- problem z logowaniem