-
Data: 2008-04-09 14:39:51
Temat: Re: ZBP: "(klienci) Powinni w końcu zacząć ponosić za to odpowiedzialność"
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:
>> Ile razy mozna przypominac ze w przypadku PINu nie da sie tego tak
>> zrobic?
>>
>> PIN jest zbyt krotki.
>
> na tą okoliczność wymyślono "salt", po naszemu "ziarno",
> dokładane do haseł przed hashowaniem
Nie, to nie na to okolicznosc, na to nie ma zadnej rady, bo nawet
teoretycznie wiadomo ze kazdy taki przypadek jest mozliwy do zlamania
w ciagu ulamka sekundy.
Salt sluzy do tego, by (w przypadku hasel o "normalnej" dlugosci
i liczbie roznych mozliwych znakow - typu np. > 10 znakow ASCII)
utrudnic odwracanie zaszyfrowanych hasel metodami innymi niz brute
force (np. rainbow tables).
Innymi slowy, nie wystarczy nam juz pojedyncza tabela (uzyskana
np. metoda slownikowa) i porownywanie zaszyfrowanych hasel:
aaa8dfssdf908se45o2i3h4kj234 alamakota
aabfff9e8r34i5krl324m4345309 rambo3rulez
aac98asd09f8spdoti3lk4j5l333 &sk4b1+c($H*)AMZBzxdtr4
itd. - tylko nalezaloby miec np. 4096 takich tabelek.
Przy okazji salt powoduje, ze dwa jednakowe hasla (np. dwoch userow)
nie sa juz (zwykle) jednakowe po "zaszyfrowaniu".
Z tym ze niestety w przypadku hasel bank (serwer itd) zawsze ma dostep
do niezaszyfrowanych wersji, niezaleznie od saltow i dlugosci/jakosci
hasel - przynajmniej w chwili ich wprowadzania przez usera.
Na to pomaga kryptografia asymetryczna, jesli jest oczywiscie dobrze
zrobiona i jesli uzytkownik jest swiadomy.
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 10.04.08 08:44 blad
- 10.04.08 09:35 Krzysztof Halasa
Najnowsze wątki z tej grupy
- CA -- problem z logowaniem
- "Ale my nie mamy ślubu. Tak też można dostać kredyt" Rozczulający marketing banksterki ;))
- Promocje w żubrze - i reklamacje.
- Kantor spolecznosciowy w banku
- Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- Oszustwa z Blikiem
- scam na bankomat?
- Płatności pasywną obraczką NFC
- a to mi lotto
- pokolenie Z
- złoty słaby
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
Najnowsze wątki
- 2024-07-01 CA -- problem z logowaniem
- 2024-06-29 "Ale my nie mamy ślubu. Tak też można dostać kredyt" Rozczulający marketing banksterki ;))
- 2024-06-26 Promocje w żubrze - i reklamacje.
- 2024-06-26 Kantor spolecznosciowy w banku
- 2024-06-24 Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- 2024-06-21 Oszustwa z Blikiem
- 2024-06-20 scam na bankomat?
- 2024-06-19 Płatności pasywną obraczką NFC
- 2024-06-18 a to mi lotto
- 2024-06-17 pokolenie Z
- 2024-06-13 złoty słaby
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...