1. дома
  2. Вопрос и ответ
  3. Любое значение при засовывании уже «сильного» пароля?

Любое значение при засовывании уже «сильного» пароля?

2009-12-20 2 views
1

Есть ли какая-либо польза от соления паролей для сильного, уникального (не используемого для других приложений пользователем) пароля?Любое значение при засовывании уже «сильного» пароля?

Соль (как я знаю) защищает от таблиц радуги, созданных с помощью словаря или общих паролей. Он также защищает от злоумышленника, замечающего пользователя с тем же хэшем в другом приложении.

Видя, как сильный пароль будет (скорее всего) не появляться на сгенерированном радужном столе, а умный пользователь будет использовать уникальные пароли для каждого приложения, которое он хочет защитить, помогает ли солят уже «умный» пользователь?

это теоретическое. У меня нет желания прекратить соление.

по существу, не соль просто стать частью пароля? это просто происходит от гейткипера, а не от пользователя.

источник

2009-12-20 Nona Urbiz

+1

«умный пользователь будет использовать уникальные пароли» - не так вероятно, как вы думаете, и в конце дня это не имеет значения.Это ваш сайт, который будет сообщаться как взломанный и обвиняемый всеми теми, кто не является «умным», как вы думаете, когда им нужно слишком сменить пароль на нескольких других сайтах, где они использовали один и тот же. – Fredrik

+0

нет причин не делать вещи вдвойне солеными (поверьте мне, вам не нужно ее пробовать: D) –

+0

См. Также: http://stackoverflow.com/questions/1645161/salt-generation-and-open -source-software/1645190 # 1645190 – Jacco

ответ

8

Если вы можете гарантировать, что все пользователи никогда не будут повторно использовать пароли, и что ни один из их паролей никогда не будет иметь форму, которую можно вычислить, чтобы предварительно вычислить встречные хеши, то соль действительно немного больше.

Однако соль также не требует дополнительных затрат; в то время как эти помещения очень трудно гарантировать, и стоимость их неправильной работы высока. Держите соль.

источник

2009-12-20 20:43:41 moonshadow

1

Помимо радужных столов, есть также инструменты bruteforce для разрешения хэша. Это не препятствует разрешению несозданных хэшей. Этот пароль занимает гораздо больше времени. Соль, безусловно, все же будет иметь смысл.

источник

2009-12-20 20:40:19 BalusC

+0

Я смущен, что ваш ответ в точности. вы говорите, что соль помогает просто по мере того, как она добавляет к длине, и для этого время обработки для грубой силы трещины? но надежный пароль уже достаточно длинный, чтобы обеспечить практически полную защиту от грубой атаки. –

+0

Нет, без известной соли вы не можете разрешить фактический пароль, независимо от надежности пароля. – BalusC

+0

но по сути, разве соль не стала частью пароля? –

1

Такое ощущение, что вы хотите сделать предположение, а затем основывайте свою безопасность на этом предположении. Когда вы делаете ошибку, по какой-то причине ваша безопасность становится плохой.

Итак, как ваше предположение (что надежные пароли не нуждаются в солевом) становится недействительным?

1) С течением времени образуются большие, более полные радужные таблицы. Это то, о чем я буду беспокоиться, если до вашего пользователя до выберите надежный пароль. Они могут подумать, что они хорошо поработали, и вы и ваша проверка безопасности могли бы подумать, что они тоже хорошо поработали, но потом выяснилось, что их мыслительный процесс, создавая пароль, легко дублируется путем наложения нескольких слов и цифр вместе.

2) Если пользователи не могут выбрать свой пароль, ваш сильный процесс генерации пароля может быть вызван ошибкой или чем-либо еще, окажутся не такими сильными, как вы хотите.

3) Ваш пользователь может быть слишком ленив, чтобы создать уникальный сайт/сильный пароль! Это, безусловно, самая важная проблема. Вы действительно хотите создать систему, которая может использоваться только криптографическими экспертами? :)

источник

2009-12-20 20:44:46

1

Радужные столы, безусловно, не ограничены паролями слова или тому подобным. Большинство из них, как правило, включают в себя каждую комбинацию символов до некоторой максимальной длины - в конце концов, это одноразовая стоимость для поколения. Используют ли ваши пользователи 12 + паролей персонажей? Вряд ли.

источник

2009-12-20 20:44:50

 Смежные вопросы

  • Нет связанных вопросов^_^