FR
Хеш-алгоритм, использованный в примере, SHA-256. Это пока всё :-)
FOMO, а не проще ли глянуть в исходники?
FOMO, а не проще ли глянуть в исходники?
Size: a a a
2021 January 02
F
Я нашёл только такое упоминание по тексту ниже
уже заметил) там нестандартная операция, не имеет отношения к модулю, спасибо
FR
Наверное, да. Только осмысленная фраза у меня одна-единственная на все случаи жизни (мастер-пароль, так сказать), а вот конечные пароли, вырабатываемые из неё, - разные за счёт конкатенации мастер-пароля с разными дополнениями: разные названия сайтов, разные пользователи на них и разные порядковые номера самих паролей у этих пользователей на этих сайтах.
@entressi, вот тут раскритиковали "мой" способ генерации паролей: https://habr.com/ru/post/529824/ , - указав, что по хешу мастер-пароль/парольную фразу можно подобрать и/или грубым перебором, или с Божим поможением всяких радужных таблиц и/или словарей.
Как Вы думаете, если от хеша мастер-пароля/парольной фразы брать не все, а только полтора-два десятка символов, это ведь усложнит взлом, да?
Как Вы думаете, если от хеша мастер-пароля/парольной фразы брать не все, а только полтора-два десятка символов, это ведь усложнит взлом, да?
DP
@entressi, вот тут раскритиковали "мой" способ генерации паролей: https://habr.com/ru/post/529824/ , - указав, что по хешу мастер-пароль/парольную фразу можно подобрать и/или грубым перебором, или с Божим поможением всяких радужных таблиц и/или словарей.
Как Вы думаете, если от хеша мастер-пароля/парольной фразы брать не все, а только полтора-два десятка символов, это ведь усложнит взлом, да?
Как Вы думаете, если от хеша мастер-пароля/парольной фразы брать не все, а только полтора-два десятка символов, это ведь усложнит взлом, да?
нет, не усложнит
R
нет, не усложнит
меньше попаданий в существующие базы, нет? Работает как соль
Если это парольная фраза
Если это парольная фраза
DP
решения:
хорошее - argon2
простое - 100к раз хэш
хорошее - argon2
простое - 100к раз хэш
DP
меньше попаданий в существующие базы, нет? Работает как соль
Если это парольная фраза
Если это парольная фраза
ничио не мешает выбрать последние символы в запросе в таблицы или при брутфорсе
БГ
решения:
хорошее - argon2
простое - 100к раз хэш
хорошее - argon2
простое - 100к раз хэш
argon2 это из серии тех алгоритмов которые спроектированы для усложнения брутфорса?
DP
argon2 это из серии тех алгоритмов которые спроектированы для усложнения брутфорса?
да
R
а да. я думал от пароля брать. от хеша бессмысленно
DP
а да. я думал от пароля брать. от хеша бессмысленно
от пароля сделает хуже. упростит перебор зная что брать
R
от пароля сделает хуже. упростит перебор зная что брать
меньше вероятность попадания в базы парольной фразы. Даже зная что брать у тебя больше 10**20 операций над паролями из базы гораздо медленнее чем поиск по ней одного
FR
нет, не усложнит
А почему нет? Я не понял. Я рассуждаю так: моему мастер-паролю/парольной фразе соответствует один хеш на 256 бит. Допустим, мой пароль перехватили и хотят его обратить, чтобы узнать мастер-пароль/парольную фразу. Однако, если я возьму в качестве пароля только половину хеша, то как он взломает мой мастер-пароль/парольную фразу, если у него нет остальных 128 бит?
DP
меньше вероятность попадания в базы парольной фразы. Даже зная что брать у тебя больше 10**20 операций над паролями из базы гораздо медленнее чем поиск по ней одного
те же шансы или лучше. ты же уменьшил пароль
было 10 букв
ты убрал 5 букв
5 букв пароль взламывается даже не по словарю
было 10 букв
ты убрал 5 букв
5 букв пароль взламывается даже не по словарю
R
те же шансы или лучше. ты же уменьшил пароль
было 10 букв
ты убрал 5 букв
5 букв пароль взламывается даже не по словарю
было 10 букв
ты убрал 5 букв
5 букв пароль взламывается даже не по словарю
убрать 1 букву
R
было sha2(рыба+солнце+улетает+лес) стало sha2(рыба+солнце+улетает+ле)
DP
А почему нет? Я не понял. Я рассуждаю так: моему мастер-паролю/парольной фразе соответствует один хеш на 256 бит. Допустим, мой пароль перехватили и хотят его обратить, чтобы узнать мастер-пароль/парольную фразу. Однако, если я возьму в качестве пароля только половину хеша, то как он взломает мой мастер-пароль/парольную фразу, если у него нет остальных 128 бит?
процесс тот же.
хэш НЕ взламывается. вместо этого человек начинает подбирать пароли пока не будет такой же хэш.
какой длины хэш - вообще не важно. человек подбирает пароли. и шанса что несколько хэшей совпадут для разных паролей очент низки. и даже если так - человек просто продолжит подбирать пароли хешируя их
хэш НЕ взламывается. вместо этого человек начинает подбирать пароли пока не будет такой же хэш.
какой длины хэш - вообще не важно. человек подбирает пароли. и шанса что несколько хэшей совпадут для разных паролей очент низки. и даже если так - человек просто продолжит подбирать пароли хешируя их
БГ
А юзать в качестве пароля название сайта зашифрованное AES-256?)
DP
было sha2(рыба+солнце+улетает+лес) стало sha2(рыба+солнце+улетает+ле)
ну ок. так да. имеет смысл
DP
А юзать в качестве пароля название сайта зашифрованное AES-256?)
с каким ключем aes?