forum.opennet.ru

"Выпуск John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Выпуск John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA"	+1 +/–
Сообщение от solardiz (ok), 19-Май-19, 15:38
"bcrypt предпочтительней в первую очередь из-за скорости вычисления" - да. "к неподъёмному времени взлома" - это зависит еще и от выбора паролей. "Тут или городить капчи, или бороться с кол-вом коннектов в единицу времени." - да, но еще нужно учесть что у сервиса и до внедрения "тяжелого" хеширования паролей почти наверняка были другие аналогичные с точки зрения риска DoS слабые места, так что чтобы не сделать сервер более уязвимым к DoS достаточно настроить хеш так, чтобы он не был медленнее обработки другого самого медленного запроса, также доступного до аутентификации. Например, переход с быстрого не-парольного хеша вроде MD5, занимавшего 1 микросекунду, на bcrypt, настроенный на время 10 ms, на типичном веб-сервисе не повысит уязвимость к DoS (зачастую найдутся и другие запросы, занимающие 10+ ms или требующие больше I/O), но замедлит подбор паролей по украденным хешам на порядки. А с DoS можно бороться отдельно, для всех типов запросов. "сперва проверять md5 вариант, если он корректен, то уже делать проверку bcrypt'ом" - это бессмысленно, так как атакующий сделает то же самое и получит не меньшее ускорение. Быстрый хеш, даже усеченный, хранить не следует.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA, opennews, 17-Май-19, 22:39 [смотреть все]

Скажите кто может оценить Для приведённого формата хеша sha1 md5 p s какой , DHCPep, 17-Май-19, 22:39 (1) //
- Подобные хеши кое-как составленные из небольшого количества вычислений быстрых , solardiz, 17-Май-19, 23:02 (2) //
  - Ты ни черта не прав, кроме разве что быстрой криптографической функции Те же KDF, вот такая вот куйня, 18-Май-19, 02:00 (5) //
    - Про KDF ты в целом понимаешь правильно, а в моем комментарии упустил слова из н, solardiz, 18-Май-19, 02:53 (7)
      - поиск коллизий основа взлома хешей, хотел спросить, 18-Май-19, 11:54 (18)
        
        offtopic Даешь спор с автором риппера offtopic , пгуыыцрщ, 18-Май-19, 12:29 (19)
        
        таки да, поиск коллизий, Sw00p aka Jerom, 18-Май-19, 15:59 (22)
    - да хоть 512 или 1024 бит, причем здесь биты если сам алгоритм дырявый коллизия , анон, 18-Май-19, 22:21 (27)
      - чукча - не читатель, чукча - писатель ты может для начала пост прочтешь целиком , хотел спросить, 19-Май-19, 02:43 (29)
  - А скажите пожалуйста Вот я так понимаю проблема хранения хеша пароля в виде bcr, Зябор, 19-Май-19, 14:01 (30) //
    - bcrypt предпочтительней в первую очередь из-за скорости вычисления - да к не , solardiz, 19-Май-19, 15:38 (31)
      - Спасибо за пояснения , Зябор, 19-Май-19, 16:59 (33)
      - Ещё один возможно глупый вопрос, по этой же теме А вариант всё-таки хранения в , Зябор, 19-Май-19, 18:56 (34)
        
        Таких случаев, чтобы не было ресурсов на хоть насколько-то медленный хеш, вычисл, solardiz, 19-Май-19, 21:46 (35)
        
        Спасибо , Зябор, 20-Май-19, 07:43 (37)
      - Утверждение неверно И вот почему При совместной проверке обоих хэшей необхо, PnDx, 20-Май-19, 11:58 (39)
        
        Предполагается, что основной хеш в данном контексте - bcrypt достаточно устойч, solardiz, 20-Май-19, 13:42 (40)
        
        Да, в случае когда за приемлемое время решается задача подобрать все коллизии, PnDx, 20-Май-19, 13:47 (41)
        
        Задача подобрать коллизии вот на эту функцию при подборе паролей обычно не ста, solardiz, 20-Май-19, 14:11 (42)
- МД5 серьезно да хоть обзаворачивайся в 100500 уровней , анон, 18-Май-19, 22:19 (26)
Достаточно ли моей рабочей машины из двух Xeon E5-2690v4 и GTX 1080 Ti для подбо, Алиса, 17-Май-19, 23:56 (3) //
- достоверных дырок в AES-128 никто пока не находиллучшее что удалось это снизить , вот такая вот куйня, 18-Май-19, 02:13 (6)
- Эта тема почти не имеет отношения к JtR и новости, но всё же отвечу Зависит от т, solardiz, 18-Май-19, 03:46 (8) //
  - Привет, Солар Немного не по теме, но не расскажешь какие ОС используешь дома д, Nightfall, 18-Май-19, 08:33 (11) //
    - Сильно не по теме, да и я не планировал давать интервью Это нарушение OPSEC, но, solardiz, 18-Май-19, 18:32 (24)
      - Нужно было использовать macOS как и все в Кремниевой долине , Ан.Зонд, 18-Май-19, 22:03 (25)
Максим, эта формулировка звучит по-детски, убого и непрофессионально и, пока не , Аноним, 18-Май-19, 07:48 (10) //
- Мы разработчики проводили тесты и мы говорим конкретно о нашей реализации в Jt, solardiz, 18-Май-19, 15:46 (21)
Очень хорошая прога, выручает часто, так как иногда забываю пароли, фирм обслужи, Aytishnik.com, 18-Май-19, 09:52 (12) //
- И не говори поди вспомни, где поставил 12345, где 54321, а где и вовсе qweasdzx, Аноним, 18-Май-19, 11:18 (14) //
  - блин да у тебя вообще феноменальная память Я такие сложные кроме, понятно, пе, пох, 18-Май-19, 11:44 (16)
- Вас, батенька, уволить надо за такую безопасность Пароли, которые подбираются з, Аноним, 18-Май-19, 11:41 (15) //
  - во-первых, тебя или твоего коллегу его клиенты уже уволили - и наняли дешевого а, пох, 18-Май-19, 11:48 (17) //
    - попридржи дубину-то Думаешь, первый оратор реально по сети пароли подбирает Да, InuYasha, 25-Май-19, 12:26 (51)
      - ты будешь смеяться, но даже если не сам- то издевается над такими То есть это р, пох, 25-Май-19, 13:00 (53)
Потребление 27 ватт офигеть, мой портативный 15 ваттный паяльник может гарант, OpenEcho, 18-Май-19, 14:52 (20) //
- Во-первых, эти подходы имеют этические и юридические отличия Во-вторых, это друг, solardiz, 18-Май-19, 16:03 (23) //
  - solardiz, дорогой, у Вас очень плохое чувство юмора , OpenEcho, 20-Май-19, 23:50 (43)
  - Особенно обидно, когда третье происходит непосредственно во время перебора Как , Аноним, 27-Май-19, 13:27 (54)
- ну подбери своим паяльником пароль к кошельку где битки лежат мультисиг 4 из 5,, анон, 18-Май-19, 22:30 (28) //
  - а в чем проблема -то Паяльник - он многоразовый , пох, 21-Май-19, 15:46 (47)
- и часто вам приходилось забывать свои пароли , slauka, 19-Май-19, 15:43 (32) //
  - Ни разу Помню всегда всего один единственный мастер пароль, который открывает , OpenEcho, 21-Май-19, 01:09 (44)
- Тебе не приходилось забывать пароль Помогает ли в этом случае паяльник , Ordu, 20-Май-19, 00:18 (36) //
  - Ни разу Помню всегда всего один единственный мастер пароль, который открывает , OpenEcho, 21-Май-19, 01:21 (45) //
    - и если навернется база - тебе и рипер уже не поможет А если авторы чудо-менедже, пох, 21-Май-19, 15:47 (48)
      - Есть только две категории людей, те которые делают бэкап и те которые будут дела, OpenEcho, 21-Май-19, 16:12 (49)
        
        и Кому и когда это помогало - А стикер с моего экрана спереть - надо пройти н, пох, 21-Май-19, 16:30 (50)
- На себе проверял , Аноним, 20-Май-19, 10:46 (38) //
  - Только анониму с опенета могла прийти такая идея Вы правда все на себе проверя, OpenEcho, 21-Май-19, 01:24 (46) //
    - Ну а как иначе Прежде чем делиться, должен протестить на себе, прогнать бенчмар, InuYasha, 25-Май-19, 12:29 (52)
      - Яша, не много на себя берешь, кидая предьявы что я кому-то, что-то должен Я бы п, OpenEcho, 31-Май-19, 00:34 (55)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру