Pull to refresh

Так ли безопасно хранение пароля в виде хеша

Website development *
Практически любой, даже начинающий разработчик, скажет вам, что пароли в базе надо хранить только в виде хеша (например md5). Это обеспечит их сохранность и увеличит безопасность системы в целом. Так ли это на самом деле?
В действительности нет, не так. Безопасность, да и сохранность, конечно повысится, но не очень сильно. В интернете уже давно есть базы хешей многих паролей. Трехминутный поиск только по Яндексу вывел меня на следующие сайты — MD5decrypter (568 002 хешей) и Insidepro (10 148 884 хешей). Уже не мало, ведь так? А это только открытые проекты и только по md5. Я думаю у любой серьезной хакерской группы есть свои базы, благо, с наличием бот-сетей распределенные вычисления перестают быть проблемой.
Кто-нибудь самый догадливый предложит, а давайте к пользовательскому паролю добавлять свой секретный длинный префикс. Ну или делать, например, md5 от md5. Взломщик никогда об этом не догадается и пароль не подберет.
Не поможет. В действительности при взломе хеша нам важен не оригинальный пароль, а поиск коллизии. Ведь неважно введем мы пароль 76854 или Fhndkts если md5(’76854′) будет совпадать с md5(’наша_секретная_строка’.’Fhndkts’).

Единственная проблема, что вариантов хешей все таки очень много и они будут занимать очень большое место в базе данных. да и поиск по ним потребует очень длительного времени.
Однако и эта проблема решается при помощи Rainbow Tables. Используя их мы на несколько порядков уменьшаем размер хранимой базы и скорость поиска пароля. Более подробно об этом можно почитать здесь и здесь. Для построение таких таблиц также нужны распределенные вычисления. И такие проекты есть — Rainbowcrack.com. Размах впечатляет — 2,628 таблиц, 102,080,000,000 цепочек (в каждой цепочке примерно 1000-1500 паролей), 1.49 Тб данных. Есть также российский подобный проект, но пока добились они намного меньшего.
Вот и как теперь хранить пароль?
denis.boltikov.ru
Total votes 31: ↑16 and ↓15 +1
Views 7K
Comments 55

Теперь будет PGP против ElcomSoft?

Lumber room
Где-то я такое уже видел. Прямо дежавю какая-то :)

Adobe наехал на ElcomSoft в 2001 году. Поднялась волна протестов «Свободу Дмитрию Склярову». А потом еще и США долго судилось с российской фирмой…

Сегодня узнал, что на ЭлкомСофт наехал PGP. Опять двадцать пять?
Читать дальше →
Total votes 5: ↑3 and ↓2 +1
Views 515
Comments 3

Атака на Twitter: шаг за шагом

Information Security *
Майкл Аррингтон уже довольно близко познакомился с 21-летним французским хакером Hacker Croll. Как известно, именно этот парень взломал Twitter и передал Майклу 300+ страниц служебной документации, которую тот постепенно публикует в онлайне. Эти ребята стали настоящими друзьями и общаются в онлайне каждый день. Кстати, если кто не знает, Майкл Аррингтон по образованию — юрист, так что он наверняка знает, что делает, и не боится судебных исков (возможно, с Twitter'ом уже согласовали, что можно публиковать, а что нет).

Из последних сообщений на TechCrunch мы можем узнать всё о Hacker Croll (HC), в том числе где он работал раньше в своей Франции и чем занимается сейчас (как раз ищет новую работу), когда начал интересоваться хакингом, с чего начинал, почему взломал Twitter и (самое интересное) — в деталях — как именно был осуществлён взлом. С этого момента подробнее.
Читать дальше →
Total votes 59: ↑56 and ↓3 +53
Views 1.2K
Comments 82

ФБР не смогло взломать зашифрованный диск (сдались через год брутфорса)

Cryptography *
Бразильский банкир Даниель Дантас (Daniel Dantas) был арестован в Рио-де-Жанейро в июле 2008 года по подозрению в финансовых мошенничествах. Полиция немедленно провела обыск в его квартире и изъяла пять жёстких дисков с зашифрованной информацией. Местные специалисты из Национального института криминологии (National Institute of Criminology, INC) использовали брутфорс в течение пяти месяцев, но так и не смогли подобрать пароль. В начале 2009 года они обратились за помощью в ФБР.

И вот сейчас стало известно, что ФБР в апреле 2010 года вернуло диски назад.

Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна. Шифр 256-битный AES. По данным отчёта ФБР, американцы использовали тот же метод, что и INC: подбор пароля по словарю. В ФБР брутфорс продолжался более года, но тоже с нулевым результатом.
Total votes 227: ↑221 and ↓6 +215
Views 31K
Comments 367