| 1.1, Аноним (-), 00:47, 03/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Господа, а по логике то плевать, не? Участники подобных проектов используют криптостойкие пароли, на сам подбор которых уйдут годы, и глупо было бы отвергать то, что база хэширована sha512 - в таком случае прямой перебор идет лесом. Думаю, что для серьезных проектов подобного рода утечки хэшэй совершенно не критичны, а вот сам факт нарушения модели угрозы - да, косяк..
| | |
| |
| 2.3, Аноним (-), 00:48, 03/08/2014 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> sha512 - в таком случае прямой перебор идет лесом.
Прямым перебором никто и не будет подбирать, радужные таблицы рулят!
| | |
| |
| |
| |
| 5.9, Аноним (-), 01:52, 03/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Конечно, только занимает 864Гб.
Вообще-то зависит от длины атакуемого пароля :). А так - производители винчей радоваться должны, я бы на их месте даже коммитил в пасскрякеры тихой сапой ;].
| | |
|
|
| 3.6, Аноним (-), 01:06, 03/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но мой пароль должен бы в радужной таблице. Или хотябы пободный. И то алгос пободия на столько разнообразен, что лишь на толику сокращает время подбора. Поправь меня, если я заблуждаюсь, буду благодарен.
Для примера: %@#20_0p3nN3T_14#@% - обломается радужная таблица, если к тому же добавлять год.месяц и автоматом менять цифру месяца в удобном для тебя порядке, о которм знаешь только ты. Я, кстати, примерно так и делаю раз в месяц.
| | |
| |
| 4.10, ano (??), 02:27, 03/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, не должен. В таблице будет пароль, хэш которого совпадает с вашим. Коллизия-с..
| | |
| |
| 5.25, SlZDO0OIU (?), 23:41, 03/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Скорее нет, чем да. Скажем, у радужной таблицы пространство ключей 10^17, сколько такие таблицы занимают места можно прикинуть сходив по ссылке выше.
Тогде вероятность того, что в эти таблицы входит элемент типа %@#20_0p3nN3T_14#@%, что, грубо говоря, похоже на, скажем, 96^19, составит 10^17/96^19.
Если же пространство ключей ограничено только пространсвом ключей хешей, то в нашем случае вероятсноть будет порядка 10^17/2^512.
Всё грубо, но я к тому, что не надо бояться коллизий. Лучше бойтесь атак на поиск прообраза, коль скоро речь идёт о хранении хешей паролей.
| | |
| |
| |
| 7.28, Аноним (-), 15:03, 04/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Парадокс дней рождения работает если вы ищете пару люыбх p1, p2, такую, что h(p1) == h(p2). При утёкших хешах же вы ищете такое любое p2, что h(p2) == H, где H фиксированное и равно h(p1), так как p1 тоже фиксированное, и вы его не знаете.
| | |
|
|
|
|
| 3.16, Алексей (??), 13:05, 03/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Если к паролю добавляется соль, то радужные таблицы помогут не сильно. Просто гипотетически пусть считается md5 от (user_name password user_name). Ну и чем здесь помогут радужные таблицы?
Предположим они скажут, что выбранной контрольной сумме соответстует строка "aaaabbbasaassa", но ты ее не можешь послать на удаленный сервер, т.к. к ней добавят имя пользователя и сумма не сойдется.
| | |
| |
| 4.17, Аноним (-), 13:52, 03/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Если к паролю добавляется соль, то радужные таблицы помогут не сильно. Просто
"Если" - хорошее слово. :))))))))
| | |
| |
| 5.20, Алексей (??), 14:33, 03/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Я к тому, что радужные таблицы имеют достаточно ограниченную применимость
| | |
| |
| 6.23, Аноним (-), 16:54, 03/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Я к тому, что радужные таблицы имеют достаточно ограниченную применимость
Ай, что ты, вихрь! Расскажи это хэшкоту, а?
| | |
|
|
|
|
|
| 1.4, Xasd (ok), 00:55, 03/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > но злоумышленники могут попытаться подключиться к другим сервисам, в которых пользователь установил тот же пароль...
...и ту же соль :)
мне на почту пришло уведомление об инцеденте -- в котором была ссылка на пост, в котором говорится:
"... The encrypted passwords were salted hashes and they by themselves cannot be used to authenticate with the MDN website today. ..."
| | |
| |
| 2.29, Аноним (-), 15:09, 04/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
При чём тут соль?
Утек хеш с солью. Злой дядя сбрутил пароль и пошёл на твою страницу в твиторе, указал тот же пароль, твитор приделал к указзаному паролю соль из своей базы и захешировал. Результат сравнил с хешем из базы. Если ты имел глупость использовать на твиторе тот же пароль, то твитор аутентифицирует злого дядю как тебя-настоящего.
| | |
| |
| 3.34, Аноним (-), 16:53, 04/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> При чём тут соль?
> Утек хеш с солью. Злой дядя сбрутил пароль и пошёл на твою
> страницу в твиторе, указал тот же пароль, твитор приделал к указзаному
> паролю соль из своей базы и захешировал. Результат сравнил с хешем
> из базы. Если ты имел глупость использовать на твиторе тот же
> пароль, то твитор аутентифицирует злого дядю как тебя-настоящего.
О дааааааа, соль!!!! Валшебная пуля!!!!
Она-ж криптографически считается, соль-то! Неужто? Давно ли?
Мужик, ты "Введение в криптографию"-то видал?
| | |
| |
| 4.37, Аноним (-), 17:19, 04/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> При чём тут соль?
>> Утек хеш с солью. Злой дядя сбрутил пароль и пошёл на твою
>> страницу в твиторе, указал тот же пароль, твитор приделал к указзаному
>> паролю соль из своей базы и захешировал. Результат сравнил с хешем
>> из базы. Если ты имел глупость использовать на твиторе тот же
>> пароль, то твитор аутентифицирует злого дядю как тебя-настоящего.
> О дааааааа, соль!!!! Валшебная пуля!!!!
> Она-ж криптографически считается, соль-то! Неужто? Давно ли?
> Мужик, ты "Введение в криптографию"-то видал?
Ты о чём вообще? Я лишь сказал предыдущему оратору, что наличие соли на двух разных сервисах его не спасёт, если утёк хеш (и был потом сбручен) одного с одного сервиса, а на обоих он использует один пароль.
Что касаемо "как считается соль", то она не считается, а, в идеале, генерируется как псевдослучайное значение.
Что пытаешься донести ты - неясно.
| | |
| |
| 5.38, Xasd (ok), 18:38, 15/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> наличие соли на двух разных сервисах его не спасёт, если утёк хеш (и был потом сбручен)
если был бы сбрутен, то да.
но как сбрутить хеш с солью?
это же неимоверные усилия. (нельзя вспользоваться готовой базой. и нельзя возпользоваться распределённым подходом если остальные участники потенциального распределения не заинтересованы в этой же соли. а соль разная у каждого логина, так что да -- ни кто не заинтересован в распределённом бруте).
| | |
|
|
|
|
| |
| 2.14, Xasd (ok), 10:19, 03/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> apache index забыли на папку дампа снять?
ты бы ещё сказал бы -- "забыли поставить галочку 'Скрытый' в свойствах файла в проводнике?" :)
| | |
|
| 1.15, Аноним (-), 10:52, 03/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Я так и знал, что с 29-ой версии разработку Firefox'а по-тихому угнали люди из Гугла.
| | |
| 1.27, Ан1110н1110м (?), 03:07, 04/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Шёл 2014й год, люди продолжали наступать на всё те же грабли:
- используя быстрые хэш функции тпиа sha* для хранения паролей
- используя во всех формах ограничения на длину пароля, что заставляет пользователей придумывать или простые пароли или те, которые не возможно запомнить (F!12fj-v1zxz).
- продолжая использовать пароли вообще.
| | |
| |
| 2.30, Аноним (-), 15:14, 04/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Шёл 2014й год, люди продолжали наступать на всё те же грабли:
> - используя быстрые хэш функции тпиа sha* для хранения паролей
> - используя во всех формах ограничения на длину пароля, что заставляет
> пользователей придумывать или простые пароли или те, которые не возможно запомнить
> (F!12fj-v1zxz).
Ага, и часто ограничивают не только длину, но и набор символов.
> - продолжая использовать пароли вообще.
А есть реальная универсальная альтернатива?
| | |
|
|
