The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

salt для crypt() (security crypt)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: security, crypt,  (найти похожие документы)
_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _ From : Solar Designer 2:5020/400 12 Dec 99 11:47:46 Subj : salt для crypt() ________________________________________________________________________________ From: Solar Designer <solar@cannabis.dataforce.net> Alexey Morenets <koldyr@glasnet.ru> wrote: > Что-то я ничего не понял. Hа сколько мне известно salt предназначен > для несовпадения хешей двух одинаковых паролей. А посему ни его Hе только. * невозможность эффективного использования уже заранее хешированных списков предполагаемых паролей, которые осталось бы только сравнить; * необходимость вызова crypt(3) (или другой совместимой реализации) для (почти) каждой проверяемой при переборе пары login/пароль, а не только по одному разу для каждого проверяемого пароля; * в случаях выбора одинакового пароля несколькими пользователями, без salt'ов, они имели бы и одинаковый хеш, что дало бы лишнюю информацию для атак. А исходно было еще и: * невозможность использования существовавших аппаратных реализаций DES для эффективного перебора предполагаемых паролей; > предсказуемость, ни его вероятность сильной роли не играют. Главное чтобы у Сильной -- не играют. Hо позволяют создавать pre-hashed wordlists еще _до_ кражи хешей, что тоже нежелательно. > двух одинаковых паролей он был разный. > Берем счетчик и для каждого пароля сдвигаем его на 1. И все дела. Hа одной системе это и правда может обеспечить уникальность, но нам надо как можно меньше совпадений salt'ов и между разными системами. -- /sd --- ifmail v.2.14dev3 * Origin: DataForce ISP (2:5020/400) _ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _ From : Alex Korchmar 2:5020/423.65 12 Dec 99 14:11:42 Subj : Re: salt для crypt() ________________________________________________________________________________ Hi Alexey! Alexey Morenets <koldyr@glasnet.ru> wrote: AM> Что-то я ничего не понял. Hа сколько мне известно salt предназначен AM> для несовпадения хешей двух одинаковых паролей. А посему ни его нет. Он предназначен, в частности, для усложнения подбора пароля перебором. Когда цель - не конкретный пароль, а _любой_ из списка. Крадут-то обычно целиком passwd/shadow/pw.db, а не одну строчку. И многие согласятся на любой пароль оттуда, им необязателен рутовый. AM> Берем счетчик и для каждого пароля сдвигаем его на 1. И все дела. думаю, даже я смогу неплохо оптимизировать подбиралку паролей для такого "salt". ;) Хинт: если salt везде одинаковый - я могу _один_ раз "зашифровать" очередное проверяемое слово, после чего - тупо сравнить с имеющимися хэшами. Если он будет разный и непредсказуемый - то мне придется повторять эту процедуру для _каждого_ хэша. Если разный, но похожий - то я смогу хотя бы _часть_ процедуры сделать общей и тем существенно ускорить процесс подбора. > Alex --- ifmail v.2.14.os-p7 * Origin: Down System -2 (2:5020/423.65)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру