-
Data: 2010-09-16 12:54:37
Temat: Re: Sposoby logowania się .
Od: Piotr Gałka <p...@C...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
Użytkownik "Jarek Andrzejewski" <p...@g...com> napisał w wiadomości
news:9d0496djmqta15hb78lectj281eds467j8@4ax.com...
>
> A masz coś na poparcie tezy, że SHA-256 wykonany milion razy będzie
> bezpieczniejszy niż wykonany 1 raz?
A ja stawiałem taką tezę ?
Nie mówię o łamaniu SHA-256 tylko o ataku na hasła poprzez sprawdzanie
pewnej listy prawdopodobnych haseł w oparciu o domniemane zwyczaje
użytkowników. Chodzi jedynie o pozorne "wydłużenie" hasła użytkownika o
jakieś 20 bitów. Jeśli atakujący sprawdzałby hasła z przestrzeni 2^48 to po
takim "wydłużeniu" nadal musi sprawdzić 2^48, ale pracy będzie miał przy tym
jakby sprawdzał hasła z przestrzeni 2^68 (licząc liczbę niezbędnych operacji
kryptograficznych do wykonania, porównanie=operacja, SHA=operacja). Gdyby
chciał pominąć to "wydłużenie" i atakować poprzez sprawdzanie wszystkich
możliwych wyników to musiałby sprawdzać 2^256 kombinacji, bo tu nie da się
stworzyć listy prawdopodobnych wybranych przez użytkownika wartości.
Zakładam, że taki atak jest znacznie prostszy od próby łamania SHA-256 i
wykonanie SHA-256 milion razy nie ma na celu jego wzmacniania.
> Tak naprawdę idea łamania funkcji skrótu sprowadza się do jednego:
To (według mnie) nie jest tematem tej dyskusji.
> Można wielokrotnie wykonywać przekształcenie, ale idea jest taka:
> http://en.wikipedia.org/wiki/Hash_chain
Rzuciłem (niedokładnie) okiem - to jest jakaś zupełnie inna bajka - chodzi o
to, aby za każdym razem inne hasło było przesyłane. Jeśli łącze jest
odpowiednio zabezpieczone to nie widzę takiej potrzeby.
> albo taka (połączenie wyniku kilku algprytmów):
> http://en.wikipedia.org/wiki/Cryptographic_hash_func
tion#Concatenation_of_cryptographic_hash_functions
Nie mam powodów aby wątpić, że poskładanie wielu funkcji hash nie jest
bezpieczniejsze od wykonania jedynie najmocniejszej z nich.
> A zamiast "mieszania" chyba lepiej użyć nazwy "funkcji skrótu".
>
Zgodzę się, choć dla mnie słowo "mieszanie" lepiej oddaje wykonywaną
operację, a "funkcja skrótu" sugeruje, że wynik jest krótszy od oryginału, a
to akurat w tym przypadku raczej nie jest prawdą (nigdy nie stosowałem
jeszcze 32 znakowych haseł).
P.G.
Następne wpisy z tego wątku
- 16.09.10 13:17 Jarek Andrzejewski
- 16.09.10 14:28 Piotr Gałka
- 16.09.10 14:38 Jarek Andrzejewski
- 16.09.10 15:17 Piotr Gałka
- 16.09.10 15:22 Jarek Andrzejewski
- 16.09.10 15:31 Piotr Gałka
- 17.09.10 22:15 Krzysztof Halasa
- 17.09.10 22:48 Krzysztof Halasa
- 18.09.10 08:56 Piotr Gałka
- 18.09.10 18:19 Krzysztof Halasa
- 20.09.10 09:44 Piotr Gałka
- 20.09.10 19:30 Krzysztof Halasa
- 21.09.10 06:58 Piotr Gałka
- 21.09.10 13:54 kashmiri
- 21.09.10 13:57 kashmiri
Najnowsze wątki z tej grupy
- Karty mBąka.
- Polskie złoto na uchodźstwie
- Citi -- rozwód
- limit 800zł z Euronetu
- Koniec swiata
- Allegro
- Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- silna zlotowka
- oszołomy paranoidalne
- Citi --> Velo
- Phishing obok nas.
- poznaj siłe swoich pieniędzy
- mBank i (nowe?) limity wypłat z bankomatów
- presja na aplikacje i blik
Najnowsze wątki
- 2025-06-26 Karty mBąka.
- 2025-06-25 Polskie złoto na uchodźstwie
- 2025-06-17 Citi -- rozwód
- 2025-06-13 limit 800zł z Euronetu
- 2025-06-10 Koniec swiata
- 2025-06-10 Allegro
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-03 Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- 2025-06-02 silna zlotowka
- 2025-05-29 oszołomy paranoidalne
- 2025-05-28 Citi --> Velo
- 2025-05-17 Phishing obok nas.
- 2025-05-17 poznaj siłe swoich pieniędzy
- 2025-05-16 mBank i (nowe?) limity wypłat z bankomatów
Jak poznać wysokość przyszłej emerytury?
