SORU
17 EKİM 2008, Cuma


Karma için tuz gizleme gerekliliği

İş yerinde tuzlar için yarışan iki teorimiz var. Üzerinde çalıştığım ürünler tuz için kullanıcı adı ya da telefon numarası gibi bir şey karma kullanın. Aslında her kullanıcı için farklıdır ama bize hazır bir şey. Diğer ürün rastgele her kullanıcı için bir tuz oluşturur ve kullanıcı parolasını değiştirir her seferinde değişiyor. Sonra tuz veritabanında şifrelenir.

Benim sorum ise ikinci yaklaşımı gerçekten gerekli mi? İlk yaklaşım daha güvenli olduğunu tamamen teorik bir bakış açısından anlıyorum ama bakış pratik açıdan ne olacak. Bir kullanıcının kimliğini doğrulamak için şu an, tuz şifresiz ve giriş bilgileri için uygulanması gerekir.

Bunu düşündükten sonra, ben sadece bu yaklaşım gerçek bir güvenlik kazanç göremiyorum. Değişen tuz hesabı için hesap, hala yapar son derece zor için birine girişimi için kaba kuvvet karma algoritmayı bile saldırgan oldu farkında ne kadar hızlı bir şekilde ne olduğunu belirlemek için her hesap. Bu şifre yeterince güçlü olduğu varsayımıyla devam ediyor. (Tabii ki tüm iki basamaklı nerede olduklarını bir dizi parola doğru hash bulma 8 haneli olan şifre doğru karma değerini bulmaktan daha önemli ölçüde daha kolaydır). Yanlış mantık mıyım, yoksa kaçırdığım bir şey mi var?

DÜZENLEME:Tamam işte çok tartışmalı tuz şifrelemek için sanırım bu yüzden. (eğer doğru yolda olup olmadığımı bilmek) dur.

Aşağıdaki açıklama için, parola her zaman 8 karakter olduğunu kabul edeceğiz ve tuz 5 ve tüm şifreler küçük harf (sadece matematik kolaylaştırır) oluşmaktadır.

Her giriş için farklı bir tuz olan aynı gökkuşağı tablosu (aslında teknik olarak yeterli büyüklükte bir tane vardı, ama şu an için bunu görmezden izin verebilirim) kullanamam anlamına gelir. Bu her hesap çözmek için direksiyonu böylece her biri için konuşmak için yeniden icat etmek zorunda çünkü anlıyorum, ne gelen tuz gerçek anahtarıdır. Şimdi ise karma oluşturmak için bir parola doğru tuz uygulamak için nasıl biliyorsanız, bir tuz gerçekten sadece karma cümle uzunluğu/karmaşıklık genişletir çünkü ben yapardım. Olası kombinasyon sayısı "" tuz ne olduğunu biliyorum çünkü. 8^26 13^26 parola tuz var, izlenmesi gerekir kesme olurdum Şimdi daha kolay, ama hala gerçekten zor oluyor.

Tuz şifreleme üzerine. Eğer tuz şifreli olduğunu biliyorum, ve (şifreleme yeterli düzeyde var olduğunu varsayarak) ilk deneyin şifresini istemem. Bunu göz ardı ediyorum. Şifresini çözmek için nasıl anlamaya çalışıyorum, bir önceki örneğe geri gitmek yerine sadece daha büyük bir gökkuşağı tablo 13^26 için tüm anahtarları içeren oluşturmak istiyorum. Tuz bilmeden kesinlikle beni yavaşlatır, ama tuz şifreleme ilk çözemedi anıtsal görev Ekle olacağını sanmıyorum. Buna değeceğini sanmıyorum. Düşünceler?

Burada bir link şifreler kaba kuvvet saldırısı altında ne kadar dayanacağını anlatan: http://www.lockdown.co.uk/?pg=combi

CEVAP
18 EKİM 2008, CUMARTESİ


Bir tuz gizleme gereksizdir.

Farklı bir tuz her hash için kullanılmalıdır. Uygulamada, bu kolay şifreleme kaliteden 8 ya da daha fazla bayt alarak rastgele sayı üreteci elde etmektir.

previous answer of mine Bir:

Tuz önceden hesaplanmış sözlük saldırıları önlemek için yardımcı olur.

Bir saldırgan, şifre listesi var sanırım. Her karma kurbanının parola karma karşılaştırmak ve eğer eşleşirse görebilir. Eğer liste büyükse, bu uzun bir zaman alabilir. "Karma yere karşılık gelen giriş noktaları. "sözlük bir sonuç kaydediyor bu yüzden bir sonraki hedef üzerinde çok fazla zaman harcamak istemiyor. Eğer şifreleri listesi çok uzun ise, bir Gökkuşağı Tablo gibi teknikler bazı yer kazanmak için kullanabilir.

Ancak, bir sonraki hedefini şifrelerini tuzlu sanırım. Eğer saldırgan tuzu ne biliyorsa bile, önceden hesaplanan tablo—değersiz tuz değişiklikleri karma her şifre ortaya çıkar. Onun listesinde yeniden karma şifreleri, giriş için hedefin tuz atması gerekiyor. Her farklı tuz farklı bir sözlük gerektirir, ve eğer yeteri kadar tuz kullanılır, saldırgan, onları tüm için sözlük saklamak için yer olmaz. Zaman kazanmak için ticaret alanı artık bir seçenek değil; saldırgan saldırı için istediği her hedef için onun listesinde her parola karma için geri düşmek gerekir.

Bu yüzden, gerekli tuz sır değil. Saldırganın önceden hesaplanmış bir sözlük özellikle tuz karşılık yok olmasını sağlamak yeterlidir.


Bu konuda düşünme sonra biraz daha tuz gizlenebilir düşünerek kendini kandırıyorsun tehlikeli olduğunu fark ettim. Çok daha iyi tuz gizlenemez varsayalım, ve sistemi buna rağmen güvenli olması için tasarım. Daha ayrıntılı bir açıklama in another answer. sağlıyorum

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Malwarebytes

    Malwarebytes

    22 Temmuz 2007
  • TheDailyTechDose

    TheDailyTech

    15 EKİM 2012
  • TimMinchinLive

    TimMinchinLi

    23 ŞUBAT 2009