S
Радужные таблицы для этого используются
А безрадужные таблицы для чего используются?
Size: a a a
2020 December 09
RS
Перебор тлена
S
Я так понимаю это что-то вроде таблицы Брадиса для кул-хакеров от однонаправленных функций
R
перебор паролей, которые равны логинам
S
Ого! А так можно было?
PD
Ну, обычно безграмотные сервисы требуют всякие цифры и символы в пароле (что бессмысленно), но не проверяют по таблице популярных паролей
S
Крайне бессмысленно, определенно!
AK
Это не редкость. И вот этого, кстати, я не понимаю.
Получается, что по хешу один отдельно взятый пароль невозможно восстановить в обозримое время?
А если их миллионы рядом лежат, то это становится задачей, решаемой в течение разумного времени?
Получается, что по хешу один отдельно взятый пароль невозможно восстановить в обозримое время?
А если их миллионы рядом лежат, то это становится задачей, решаемой в течение разумного времени?
По-хорошему, каждый пароль должен хешироваться со случайной строкой «солью». Тогда радужные таблицы не помогут — их нужно строить заново.
Совсем по-хорошему, соль должна быть разная для каждого пользователя. Тогда каждый пароль в сервисе нужно перебирать отдельно.
Ну и чем более стойкий алгоритм хеширования, тем меньше вероятность коллизий.
Всё это разбивается о реальность, где многие сервисы хранят пароли просто текстом, ну или максимум MD5 без соли.
Совсем по-хорошему, соль должна быть разная для каждого пользователя. Тогда каждый пароль в сервисе нужно перебирать отдельно.
Ну и чем более стойкий алгоритм хеширования, тем меньше вероятность коллизий.
Всё это разбивается о реальность, где многие сервисы хранят пароли просто текстом, ну или максимум MD5 без соли.
C
🌟 Andrey Kolnoochenko has reached level 3!
AK
Ну, обычно безграмотные сервисы требуют всякие цифры и символы в пароле (что бессмысленно), но не проверяют по таблице популярных паролей
Я честно говоря такого ни в одном framework’е не видел. Где-то есть реализация такого middleware?
S
По-хорошему, каждый пароль должен хешироваться со случайной строкой «солью». Тогда радужные таблицы не помогут — их нужно строить заново.
Совсем по-хорошему, соль должна быть разная для каждого пользователя. Тогда каждый пароль в сервисе нужно перебирать отдельно.
Ну и чем более стойкий алгоритм хеширования, тем меньше вероятность коллизий.
Всё это разбивается о реальность, где многие сервисы хранят пароли просто текстом, ну или максимум MD5 без соли.
Совсем по-хорошему, соль должна быть разная для каждого пользователя. Тогда каждый пароль в сервисе нужно перебирать отдельно.
Ну и чем более стойкий алгоритм хеширования, тем меньше вероятность коллизий.
Всё это разбивается о реальность, где многие сервисы хранят пароли просто текстом, ну или максимум MD5 без соли.
Так соль получается тоже хранить надо, или рандомный хэш не сойдется никогда
RS
Я честно говоря такого ни в одном framework’е не видел. Где-то есть реализация такого middleware?
поискать вот эту браузерную примочку, которая пароли чекает в хранилище. наверняка, когда-то она была на js
АП
Прочитав статью о протоколе Телеги, я готов поверить, что мозг там не включался со времён олимпиад, хе-хе-хе
Там что-то интереснее непрерывного потока XML?
AK
Sergey
Так соль получается тоже хранить надо, или рандомный хэш не сойдется никогда
Разумеется. Но знание соли не поможет злоумышленнику. Задача не в том, чтобы соль была дополнительным секретом. Задача в том, чтобы сделать радужные таблицы неэффективными.
АП
Это баг как он есть.
Не вижу, почему бы благородному дону не поставить в точке, где консистентность некритична, кэш с разумным временем схождения, если он высвобождает заметные ресурсы
PD
Я честно говоря такого ни в одном framework’е не видел. Где-то есть реализация такого middleware?
Хм, есть библиотеки, которые такое умеют. Про готовое middleware не знаю, но подключить свои правила обычно можно.
АП
А в чём ценность этой информации для третьих лиц?
"Разведку интересует все". Была в Науке и Жизни когда-то статья (навскидку не гуглится), сколько бесценной информации при подготовке высадки в Италии английская разведка вынула из семейных альбомов, которые для этого специально собирали. Без GPS-привязки фото, без точных моментов, без компьютеров.
AK
Хм, есть библиотеки, которые такое умеют. Про готовое middleware не знаю, но подключить свои правила обычно можно.
Да, надо такое будет поискать.
АП
Это не редкость. И вот этого, кстати, я не понимаю.
Получается, что по хешу один отдельно взятый пароль невозможно восстановить в обозримое время?
А если их миллионы рядом лежат, то это становится задачей, решаемой в течение разумного времени?
Получается, что по хешу один отдельно взятый пароль невозможно восстановить в обозримое время?
А если их миллионы рядом лежат, то это становится задачей, решаемой в течение разумного времени?
Хороший и почти философский вопрос. Чем больше у нас хешей, тем больше данных откроет сплошной чёс. Если мы плюс-минус брутфорсим пароли, сравнивать с одним хешом или со ста тысячами - в целом никакой разницы
АП
Если сделано безграмотно. При нормальной реализации не помогут
Для того, чтобы реализовать что-то (особенно связанное с безопасностью, там больше всего неочевидных вещей) нормально, нужно сначала осознать, что текущая реализация ненормальна, а ее Даннинг с Крюгером заказывали.