The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Автор md5crypt подчеркнул небезопасность данного алгоритма и призвал перейти на более стойкие методы хэширования паролей

09.06.2012 13:46

Под впечатлением от утечки нескольких миллионов хэшей паролей пользователей сайтов LinkedIn, eHarmony и Last.fm, Пол-Хенинг Камп (Poul-Henning Kamp), объявил, что созданную им в 1995 году реализацию системы хэширования паролей md5crypt больше нельзя считать безопасной. Несмотря на то, что для привлечения большего внимания к проблеме создан CVE-идентификатор уязвимости (CVE-2012-3287), уведомление не связано с выявлением какой-то новой проблемы безопасности, а лишь указывает на потерю актуальности md5crypt (расширенный вариант на базе MD5, более стойкий к подбору из-за более высокой требовательности к ресурсам при генерации хэша).

По словам Пола-Хенинга Кампа, md5crypt исчерпал себя как алгоритм хэширования паролей, так как современные инструменты подбора паролей, способные проверить миллион комбинаций в секунду, благодаря задействованию средств GPU-акселерации, могут восстановить любой восьмисимвольный пароль по хэшу md5crypt за несколько дней. Похожая ситуация наблюдалась в 1995 году в отношении алгоритма DES. Так как во многих системах для хэширования паролей по умолчанию по прежнему используется md5crypt, Пол-Хенинг Камп призвал пользователей и разработчиков ОС перейти по умолчанию на более стойкие алгоритмы.

Пол-Хенинг не указывает на конкретный алгоритм, но советует использовать некоторые методы повышения затрат вычислительных ресурсов, например, цикличное вложенное хэширование или комбинация результатов разных алгоритмов хэширования. Для сайтов с более чем 50 тысячами пользовательских аккаунтов Пол-Хенинг Камп порекомендовал использовать собственный модифицированный алгоритм, базирующийся на стойких хэшах, таких как SHA (для организации процесса подбора паролей для нестандартного алгоритма дополнительно потребуется определить и воссоздать его логику).

  1. Главная ссылка к новости (http://phk.freebsd.dk/sagas/md...)
  2. OpenNews: Релиз oclHashcat-lite, системы подбора паролей с задействованием GPU
  3. OpenNews: В рамках проекта John the Ripper найдены упрощенные выражения для S-box'ов DES
  4. OpenNews: Вышел John the Ripper 1.7.6 с поддержкой параллелизации
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: md5, crypt, hash
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, CSRedRat (ok), 13:57, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень большой процент паролей от LinkedIn был восстановлен из хэшей за достаточно краткий срок. Правду глаголит.
    А переходить на BLOWFISH или SHA-512 он не советовал и не указывал конкретный метод шифрования. Он дал пару рекомендаций по тому, как усложнить восстановление пароля из хэша.
    В интернете есть хорошие статьи о том, как правильно солить хэши и как их хранить.
     
     
  • 2.9, XoRe (ok), 14:46, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/

    > В интернете есть хорошие статьи о том, как правильно солить хэши и
    > как их хранить.

    Про соль в точку.
    В linkedin хеши были без соли, а это полный фэйл - потому так быстро и расшифровали пароли.

     
     
  • 3.16, sdfsfsf (?), 15:43, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Их не расшифровали, а подобрали. Это важно.
     
     
  • 4.124, XoRe (ok), 23:43, 13/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Их не расшифровали, а подобрали. Это важно.

    Да, так будет точнее.
    Правильно будет так: md5 без соли подбирается на порядки легче, чем с солью.

     
  • 2.49, Аноним (-), 18:12, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А переходить на BLOWFISH или SHA-512 он не советовал и не указывал конкретный метод шифрования

    Важнее правильно применять алгоритм, а не бездумно заменять один на другой. Замена MD5 на SHA-512 увеличит сложность расчета ну максимум втрое (не знаю, насколько SHA медленнее), да еще взломщику придется запасти в 4 раза больше места под хэши - вот и все преимущества. Как правильно замечено, необходимо солить, и желательно еще многократно хэшировать пароль - без этого будет мало толку от применения новомодного алгоритма

    > BLOWFISH

    А разве есть смысл на него переходить? 64-битные блоки это каменный век

     
     
  • 3.58, V (??), 20:02, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Он опечатался,

    имелось в виду Threefish

     
     
  • 4.66, Аноним (-), 21:25, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Он опечатался,

    описался.

     
     
  • 5.91, www2 (??), 09:05, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Тонко.
     
  • 5.109, Аноним (-), 18:31, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > описался.

    Обосрaлся.

     
  • 3.69, angel_il (ok), 22:43, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >многократно хэшировать пароль - без этого будет мало толку от применения новомодного алгоритма

    ну что за бред...

     
  • 3.70, TS (ok), 23:49, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего имелся ввиду bcrypt - http://ru.wikipedia.org/wiki/Bcrypt
     

  • 1.2, Кирилл (??), 14:13, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Просто вместо 8-мисимвольных нужно поднять минимальный порог до 10--12.
     
     
  • 2.4, Аноним (-), 14:20, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну были пароли 123456 будут 12345678.
     
     
  • 3.5, Аноним (-), 14:20, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну были пароли 123456 будут 12345678.

    *1234567890

     
     
  • 4.21, Аноним (-), 15:58, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > *1234567890

    ********** (troll mode password - половина кулхацкеров сильно обломается).

     
  • 2.6, CSRedRat (ok), 14:25, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это не выход. С появлением сенсорных экранов всё больше распространяется метод проверки пароля по графическому ключу. Вот это действительно увеличивает устойчивость пароля с пользовательской стороны. А серверная часть она никуда не девается - хранить пароли надо как можно надёжней.
     
     
  • 3.13, Кирилл (??), 15:27, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это чушь.
    В лучшем виде графический ключ представляет собой числовую матрицу.
    В худшем - числовое значение вершины графа.
    Итого если у вас матрица4х4, то если я не ошибаюсь, перебор пройдет достаточно быстро =)

    Это жосский фэйл и равносильно шифрованию цезарем =)
    Так что убейтесь апстену, сударь =)

     
     
  • 4.41, Аноним (-), 17:35, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На самом дел это вы тупите.
    Сенсорный ввод невозможно (или трудно) автоматизировать.
    А если представить, что тыкают пальцем по объектам абстрактной картинки, а картинка для каждого пользователя может быть своя и даже не храниться на сервере вместе с паролями? Допустим картинка разрешением hd-ready разбивается на несколько сотен квардатов и надо нажать 5 раз на разные, а результат потом еще жестко хешируется, то легко ли будет подобрать пароль?
    А если результат нажатия - не номер квадрата и не его координата, а хеш кода среднего цвета этого квадрата или еще какая функция ..
     
     
  • 5.43, Ваня (??), 17:48, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    "5 из 900" (несколько сотен квардатов и надо нажать 5 раз на разные) ГОРАЗДО легче подобрать, чем "1 из 999999" (1 число из 6-значного цифрового пароля). Для равной сложности вам придётся настолько увеличить сложность картинки...
     
     
  • 6.47, arisu (ok), 17:57, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    и как всегда все забыли о бедных пользователях. которым нафиг не упёрлись все эти головоломки.
     
  • 6.60, Анонимаус (?), 20:53, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://ru.wikipedia.org/wiki/Сочетание

    Ответ для 5 из 900, если вдруг слабо посчитать: ~4.9*10^12.

     
     
  • 7.67, Аноним (-), 21:57, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ответ для 5 из 900, если вдруг слабо посчитать: ~4.9*10^12.

    Для HD (1920х1080) 39х23=897 клеток. сторона клетки ~49 пикселей и 12 мм, на мониторе 475х270 мм.
    Число комбинаций 897х896х895х894х893= ~5,74*10^14 .
    Стойкости хватит, только какая радость этим пользоваться...

     
  • 6.86, Аноним (-), 04:31, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да 1 из 583954474521600 ГОРАЗДО легче подобрать, чем 1 из 999999.
    Ваня, ты - дурак.
     
     
  • 7.98, arisu (ok), 12:01, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ваня, ты — дурак.

    это тебе любой Кэп Очевидность скажет, даже начинающий.

     
     
  • 8.120, Аноним (-), 10:40, 11/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо кэп ... текст свёрнут, показать
     
  • 5.61, Аноним (-), 21:12, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >кода среднего цвета этого квадрата

    вам дальтоники яйца оторвут.

     
     
  • 6.102, Аноним (-), 14:53, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Дальтонику не надо видеть цвет, он жмакает на объекты на фото (проткни всех врагов на фото с выпускного =). Потом алгоритм на клиенте высчитывает результат по этому квадрату на этой фотке и все. На всяких фконтактиках можно хранить эту фотку в фотоальбоме, а какую фотку использовал в последний раз будет знать только клиент.
    Для планшетов д/б удобно.
    Будет нужно тем, кому нужны безопасность и удобство. Кому нужно только второе и дальше будут юзать пароли 123.
     
  • 4.56, АнонимЭд (?), 19:12, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    То то где то тут писалось что фбр не могло разблокировать планшет и только терморектальный способ  помог его разблокировать - но оно ясно что фбр лохи и не прислушались к вашему савету что 4х4 хня
     
     
  • 5.84, mavriq (ok), 04:12, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > фбр не могло разблокировать планшет и только терморектальный способ  помог его разблокировать

    То они просто новый термроректальный криптоанализатор решили опробовать.

     
  • 5.104, Аноним (-), 14:58, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > То то где то тут писалось что фбр не могло разблокировать планшет
    > и только терморектальный способ  помог его разблокировать - но оно
    > ясно что фбр лохи и не прислушались к вашему савету что
    > 4х4 хня

    Вы думете, что вот вышли какие-то там очередные полу планшеты полу дейвайсы и специальный отдел ФБР из 1000-чел садится и начинает их ломать в режиме 24/7 (т к этих недодевайсов выходят тысячи и они еще обновляются)??
    Понадобился им какой-то сраный айпад, но сходу за пол часа местные хакеры его не взломали, т к это просто только в кино. Вроде брутфорсили они, это не всегда быстро работает. Но они же власти, у них есть возможность стрясти пароль и так. Ты же по закону не можешь ничего шифровать от властей и должен выдать пароль.

     
  • 5.110, Аноним (-), 18:33, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > То то где то тут писалось что фбр не могло разблокировать планшет

    Так оно и кучку дисков с трукриптом не осилило :). Вообще, а нафиг его разблокировать? Ну пошел да считал микросхемы памяти. То что некоторые слишком тупы для этого еще не отменяет того что это не больно какой способ.

     
  • 5.121, Frank (ok), 17:06, 11/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    FBI не смогло подобрать пароль только потому, что количество неудачных попыток сильно ограничено. Утверждать, что картинкопароль стоек к подбору только из-за этого - всё равно что утверждать про надёжность PIN-кода из четырёх циферек у кредиток. Для случая неограниченного брутфорса картинко ничем не лучше обычного пароля.
     
  • 4.88, q (??), 04:41, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это жосский фэйл и равносильно шифрованию цезарем =)
    > Так что убейтесь апстену, сударь =)

    В школьную программу уже включили шифрование цезарем? Прогресс, однако.

     
  • 4.103, CSRedRat (ok), 14:55, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это чушь.
    > В лучшем виде графический ключ представляет собой числовую матрицу.
    > В худшем - числовое значение вершины графа.
    > Итого если у вас матрица4х4, то если я не ошибаюсь, перебор пройдет
    > достаточно быстро =)
    > Это жосский фэйл и равносильно шифрованию цезарем =)
    > Так что убейтесь апстену, сударь =)

    Привожу ссылки на статьи по графическому ключу:
    http://blogs.msdn.com/b/b8_ru/archive/2011/12/22/signing-picture-password.asp
    http://blogs.msdn.com/b/b8_ru/archive/2011/12/24/optimizing-picture-password-

     
     
  • 5.106, Аноним (-), 17:48, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >blogs.msdn.com

    Им можно верить?

     
     
  • 6.108, CSRedRat (ok), 18:28, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>blogs.msdn.com
    > Им можно верить?

    Нет. Верить никому нельзя!

     
  • 5.111, Аноним (-), 18:35, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Привожу ссылки на статьи по графическому ключу:

    MSDN? Не, спасибо. MS и секурити - то же что китайский автомобиль и безопасность при авариях.

     
  • 5.122, Frank (ok), 17:23, 11/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Такие оптимистичные статьи... и ничего не сказано о том, что далеко не любая точка на фото рассматривается как точка интереса, т.е. их набор много, много меньше чем квадратов сетки. Даже на той фотке что в статье точки на носах совершенно очевидны, как и круг вокруг головы. Ещё такими же банальными и частыми будут сиськи =) Короче, грош цена расчётам в статье Всё равно что рассуждать о криптостойкости 6-значного пароля, в то время как в 20% случаев это будет шесть единиц или 123456 или"пароль".
     
  • 3.22, Аноним (-), 16:01, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не выход. С появлением сенсорных экранов всё больше распространяется метод проверки
    > пароля по графическому ключу.

    И как ты в общем случае поймешь что это с настоящего сенсорного экрана валится, а не с некоей программной эмуляции?

    Кроме того если бы ты не был тупым то прикинул бы число комбинаций и осознал что все эти гламурные понтовые фишки - модно выглядят, но ничего и близко похожего на безопасность не обеспечивают. Так, косят чутка под типа безопасные решения. Но безопасность хуже чем у замка на дипломате с 3 цифрами, которые достаточно просто покрутить 10 минут :).

     

  • 1.3, Аноним (-), 14:19, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    За последнюю недели угнали базы linkedin, lastfm и LigueOfLegend.
    У меня создается впечатление что пароли пользователей лучше вообще у себя не хранить. А ля openid/oauth/brouserid/и тд. Надежнее.
     
     
  • 2.8, rshadow (ok), 14:31, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > лучше вообще у себя не хранить

    Не ... нафиг нафиг, лучше у себя. Но не пароли а сертификаты. Давно бы уже упростили установку сертификатов в браузер и ходили по сайтам используя сертификаты, через https.

     
     
  • 3.15, AdVv (ok), 15:43, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    О чем ты говоришь ?! 95% населения не в состоянии запомнить пару логин-пароль. При слове "сертификат" сотрудники нашей бухгалтерии начинают испытывать благоговейный трепет.
     
     
  • 4.37, Аноним (-), 16:40, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Пару? В среднем пользователь интернета зарегистрирован на 5-ти ресурсах. Многие на десятке и более.

     
     
  • 5.40, filosofem (ok), 17:26, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И на всех одна и та же пара логин:пароль
     
     
  • 6.54, AdVv (ok), 19:08, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > И на всех одна и та же пара логин:пароль

    Которая забыта после выставления галочки "Сохранить пароль" в браузере

     
  • 3.23, Аноним (-), 16:01, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > и ходили по сайтам используя сертификаты, через https.

    А потом придет Comodo Hacker и выпишет сертификат что он - это вы :)

     
     
  • 4.26, AdVv (ok), 16:13, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> и ходили по сайтам используя сертификаты, через https.
    > А потом придет Comodo Hacker и выпишет сертификат что он - это
    > вы :)

    Вы видимо не понимаете разницу между сертификатом сайта и личным сертификатом пользователя.

     
     
  • 5.28, Аноним (-), 16:26, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Вы видимо не понимаете разницу между сертификатом сайта и личным сертификатом пользователя.

    Нет, я просто понимаю что достаточно спереть один привкей и после этого все нагибается. А привкей должен быть доступен так или иначе, если новые ключи надо на ходу выкатывать. Бывают конечно смарткарты всякие и прочая, но оно обычно стоит денег, требует кастомных телодвижений, так что на произвольном хостинге не прокатит, да и надежность смарткарты где проц хрен знает чей код и хрен знает как гоняет - штука тоже достаточно абстрактная.


     
     
  • 6.55, AdVv (ok), 19:10, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Вы видимо не понимаете разницу между сертификатом сайта и личным сертификатом пользователя.
    > Нет, я просто понимаю что достаточно спереть один привкей и после этого
    > все нагибается. А привкей должен быть доступен так или иначе, если
    > новые ключи надо на ходу выкатывать. Бывают конечно смарткарты всякие и
    > прочая, но оно обычно стоит денег, требует кастомных телодвижений, так что
    > на произвольном хостинге не прокатит, да и надежность смарткарты где проц
    > хрен знает чей код и хрен знает как гоняет - штука
    > тоже достаточно абстрактная.

    Видимо все-таки не понимаешь, привкеи тебе придется украсть у каждого из пользователей сайта персонально. Займись.

     
     
  • 7.112, Аноним (-), 19:04, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Видимо все-таки не понимаешь, привкеи тебе придется украсть у каждого из пользователей
    > сайта персонально. Займись.

    Зачем? Спереть ажно 1 привкей - у ауторити. И все, можно выписать себе 100500 сертификатов на все что угодно. В том числе и других пользователей. Ведь поля сертификата мы можем заполнять как угодно.

     
     
  • 8.118, angra (ok), 03:39, 11/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    На пальцах Пользователь генерит у себя пару ключ сертификат Сертификат засылае... текст свёрнут, показать
     
  • 3.45, filosofem (ok), 17:52, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Не ... нафиг нафиг, лучше у себя. Но не пароли а сертификаты. Давно бы уже упростили установку сертификатов в браузер и ходили по сайтам используя сертификаты, через https.

    В принципе да, любая схема с открытыми ключами вроде OpenPGP намного надежнее, только вэб-стандарта, поддерживаеммого браузерами, под это нет. SSL слишком корявый, избыточный и неудобный и на шаред хостинге не прокатит.

     
     
  • 4.107, umbr (ok), 18:14, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >SSL ... на шаред хостинге..

    Вы это серьёзно?

     
     
  • 5.119, filosofem (ok), 10:29, 11/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если из поста оставить 4 слова, а остальные заменить точками, то смысл меняется до противоположного. Чудеса!
     
  • 3.85, mavriq (ok), 04:17, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А в интернет-кафе приходить с блокнотиком, и пол часа набирать сертификат в gedit-е (ну или в notepad-е, смотря какое кафе).
    Хотя вообще - мысль здравая, заодно добровольно-принудительный ликбез(ну или отсеивание неосиляторов).
     
     
  • 4.95, filosofem (ok), 10:35, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А в интернет-кафе приходить с блокнотиком, и пол часа набирать сертификат в gedit-е (ну или в notepad-е, смотря какое кафе).

    Имеете в виду, что юзеры на чужом(общественном) компе наберут свой сертификат с закрытым ключом? о_О
    Я опять недооценил изобретательность пользователей, когда речь идет о способности стрелять себе в ногу из любого оружия из любых положений! =)

    Тем не менее, те кто вводит пароли(тем более экспортирует сертификаты) в интернет-кафе, не должны переживать из-за того, что сайт потерял базу с их паролями. Таких счастливых людей ни наша дискуссия ни любые другие вопросы компьютерной безопасности не беспокоят. =)

     
  • 4.97, arisu (ok), 12:00, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А в интернет-кафе приходить с блокнотиком, и пол часа набирать сертификат в
    > gedit-е (ну или в notepad-е, смотря какое кафе).

    epic win! you are winrar!

     
  • 2.10, XoRe (ok), 14:50, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > За последнюю недели угнали базы linkedin, lastfm и LigueOfLegend.
    > У меня создается впечатление что пароли пользователей лучше вообще у себя не
    > хранить. А ля openid/oauth/brouserid/и тд. Надежнее.

    В linkedin хеши были без пароля, поэтому так легко сломались.
    Это огромный минус разработчикам linkedin.

    С паролями можно делать проще.
    Использовать 32 симольный рандомный пароль, типа 2AsVAVCrZtiUKXNLwBGgL8PFBseGnGp3.
    И пусть ломают.
    Даже без соли такой пароль из md5 подобрать сложно и долго.
    А сами пароли держать в каком-нибудь менеджере паролей, с очень сильным шифрованием.

     
     
  • 3.14, Кирилл (??), 15:30, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ура ура, назад к бумажкам-стикерам с паролем на мониторах. =)
     
  • 3.17, AdVv (ok), 15:48, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Расскажи-ка мне друг, каким по твоему образом сервер должен проверять пароль пол... большой текст свёрнут, показать
     
     
  • 4.20, Аноним (-), 15:58, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>> хранить. А ля openid/oauth/brouserid/и тд. Надежнее.
    >> В linkedin хеши были без пароля, поэтому так легко сломались.
    >> Это огромный минус разработчикам linkedin.
    >> С паролями можно делать проще.
    >> Использовать 32 симольный рандомный пароль, типа 2AsVAVCrZtiUKXNLwBGgL8PFBseGnGp3.
    >> И пусть ломают.
    >> Даже без соли такой пароль из md5 подобрать сложно и долго.
    >> А сами пароли держать в каком-нибудь менеджере паролей, с очень сильным шифрованием.
    > Расскажи-ка мне друг, каким по твоему образом сервер должен проверять пароль пользователя,
    > если хеш от него зашифрован ?

    а где и кем предлагалось шифровать хеши?

     
     
  • 5.25, AdVv (ok), 16:10, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален А ты бы как интерпретировал фразу В linkedin хеши были ... большой текст свёрнут, показать
     
     
  • 6.30, Аноним (-), 16:31, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А ты бы как интерпретировал фразу "В linkedin хеши были без пароля,
    > поэтому так легко сломались." ? А "А сами пароли держать в
    > каком-нибудь менеджере паролей, с очень сильным шифрованием." ?

    ну ведь ясно же что говорится о соли, описался человек, зачем сразу с кулаками?

     
     
  • 7.33, AdVv (ok), 16:38, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А ты бы как интерпретировал фразу "В linkedin хеши были без пароля,
    >> поэтому так легко сломались." ? А "А сами пароли держать в
    >> каком-нибудь менеджере паролей, с очень сильным шифрованием." ?
    > ну ведь ясно же что говорится о соли, описался человек, зачем сразу
    > с кулаками?

    Ясно ? А что тогда означает вот эта фраза: "Даже без соли такой пароль из md5 подобрать сложно и долго." ?
    Ясно, что человек вообще не понимает о чем пишет. На что я ему и пытаюсь намекнуть. Кстати, а я не с автором этого поста общаюсь ?! ;)

     
     
  • 8.38, Аноним (-), 16:49, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не с автором Блин, ну вы действительно напрягите уже извилины, совет на фо... большой текст свёрнут, показать
     
     
  • 9.53, AdVv (ok), 19:04, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Все, ты меня убедил Я точно дурак ... текст свёрнут, показать
     
  • 9.126, XoRe (ok), 23:46, 13/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо ... текст свёрнут, показать
     
  • 3.52, nyt (?), 18:34, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Использовать 32 симольный рандомный пароль, типа 2AsVAVCrZtiUKXNLwBGgL8PFBseGnGp3.
    > И пусть ломают.
    > Даже без соли такой пароль из md5 подобрать сложно и долго.

    Совсем не факт. К этому паролю может быть трёхсимвольная коллизия. Соль должна быть обязательно.

     
     
  • 4.57, Andrew Kolchoogin (?), 19:17, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вот этого вообще практически никто не понимает Вся затея об увеличении количест... большой текст свёрнут, показать
     
     
  • 5.62, Аноним (-), 21:19, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >А вот это fail, тов. собеседник. :) Ну КАК salt спасёт от hash collision?

    md5($pass + $salt) = hash  ну нашли вы коллизию положим, какой пароль вводить? Как вы пароль узнаете? А если соль более 30 символов а ваши коллизии все "по принципу дирихле"
    по десять - то какой с них толк?

     
     
  • 6.71, Andrew Kolchoogin (?), 00:04, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В вашей терминологии это будет $pass. Его и вводить.
     
     
  • 7.75, sdfsfsf (?), 00:35, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я правильно понимаю, что речь идёт про поиск любого такого пароля, который при ... большой текст свёрнут, показать
     
     
  • 8.78, Аноним (-), 02:04, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В общем случае соль тоже не известна Если соль известна то она может быть доста... текст свёрнут, показать
     
     
  • 9.100, sdfsfsf (?), 14:37, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чаще всего соль лежит там же, где и хеш ... текст свёрнут, показать
     
  • 7.76, bav (ok), 00:39, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > В вашей терминологии это будет $pass. Его и вводить.

    Но подобрана-то коллизия на $pass + $salt.

     
  • 7.77, Аноним (-), 02:01, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    в моей терминологии это будет
    md5(коллизия) = хеш
    md5(пасс+соль)= хеш  //тот же
    Вы знаете коллизию  - найдите мне пас, если соль неизвестна.

     
     
  • 8.79, Аноним (-), 02:05, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Или если соль известна ... текст свёрнут, показать
     
  • 5.72, TS (ok), 00:20, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Для тех, кто не в курсе: после анализа стойкость MD5 к коллизиям
    > -- ~2^80. Пароль длинее, чем в 10 символов, можете не ставить
    > -- к ЛЮБОМУ паролю по принципу Дирихле будет существовать коллизия не
    > длиннее, чем в 10 символов.

    Ну, это не совсем верно. Дело в том что 2^80 операций даже на CPU - это дохрена, мягко говоря - 38 млн лет поиска при 1 млрд хеш/сек - тут никакой кластер не поможет.
    Ну и 2^80 операций соответсвует где то 16 ти символьному буквенноцифровому паролю (без спецсимволов).
    Хотя конечно согласен что пароли хешировать MD5 в 2012 году не стоит - есть гораздо более лучшие функции.

     
  • 5.87, mavriq (ok), 04:38, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Начали вы верно, но немного запутались.

    предположим
    crypt(salt0+pass0) == hash
    но также
    crypt(collision) == hash
    Если collision начинается с slat0, то ДА - это не коллизия
    и вы нашли пароль, или очень удачную коллизию
    pass1 = collision[len(salt0):]
    но вероятность того, что
    crypt(salt0+pass0) == crypt(salt0+pass1)
    тем меньше, чем длиннее соль.
    И если для любого пароля длиной 10 символов существует коллизия длиной < 10 символов, то достаточно соли в 8-10 рандомных символов чтоб сильно усложнить возможность поиска коллизий, и(или) использование словаря.
    Ну и стандартная причина ИСПОЛЬЗОВАТЬ соль - в силу [s]стадного[/s] человеческого фактора - из 1000 человек пароль совпадет допустим у 3% человек, а значит 30 хешей будут одинаковыми, и скорее всего из словаря(к которому скорее всего  уже существует таблица хэшей). С солью - все эти хэши будут уникальными.

     
  • 3.125, XoRe (ok), 23:44, 13/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > В linkedin хеши были без пароля, поэтому так легко сломались.

    Я имел в виду "без соли".
    Сорри, если вызвал у кого диссонанс с реальностью)

     
  • 2.42, Аноним (-), 17:40, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > За последнюю недели угнали базы linkedin, lastfm и LigueOfLegend.
    > У меня создается впечатление что пароли пользователей лучше вообще у себя не
    > хранить. А ля openid/oauth/brouserid/и тд. Надежнее.

    Не надо хранить никакую важную инфу в интернете вообще. Никаким сайтам просто нельзя доверять.
    На более чем половине сайтов нужно отказаться от паролей вообще, как сдесь.
    Зачем мне помнить пароль чтобы раз в день зайти пофлудить или че-то скачать? Нелепые ограничения чтоб привязать пользователя, а потом угрожать баном (контролировать), и получить мишень для спама.

     
     
  • 3.89, mavriq (ok), 04:41, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем мне помнить пароль...

    ради ответа на нить и крутой аватарки возле вашего ответа ))
    > Нелепые ограничения чтоб привязать пользователя, а потом угрожать баном

    вы таки не поверите - банить можно и по IP

     
     
  • 4.90, mavriq (ok), 04:42, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    * ради оповещения на мыло об ответе на нить и ...
     
     
  • 5.92, www2 (??), 09:16, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > * ради оповещения на мыло об ответе на нить и ...

    На этом сайте оповещения об ответе можно получать и не регистрируясь.

     
     
  • 6.99, arisu (ok), 12:03, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> * ради оповещения на мыло об ответе на нить и ...
    > На этом сайте оповещения об ответе можно получать и не регистрируясь.

    зато без регистрации нельзя прекратить их получать. что открывает широкие возможности заваливать одноклассников спамом с опеннета.

     

  • 1.7, Аноним (-), 14:29, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    http://www.openwall.com/articles/PHP-Users-Passwords
     
  • 1.11, x0r (??), 14:57, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "собственный модифицированный алгоритм" вот этого пожалуйста поменьше))
    Я слашал SHA тоже не панацея...
     
     
  • 2.39, жопка3 (?), 17:18, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ога, security by obscurity
     
  • 2.50, Аноним (-), 18:23, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    Шнайер писал, что сожалеет о выпуске своей первой книги по криптографии, потому что куча народу по ее прочтении возомнила себя великими криптографами и начала писать бестолковые алгоритмы, ломаемые на раз. В криптографии, если не являешься экспертом, никогда не помешает быть консервативным и применять максимально проверенные временем методики безо всякой самодеятельности
     

  • 1.12, solardiz (ok), 15:05, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    В целом всё так, текст новости здесь соответствует оригиналу, и мнение такого уважаемого человека знать интересно, но:

    1. Советы - спорные. По-моему, части из них лучше не следовать. ;-)

    2. За пару дней при миллионе проверок в секунду подбирается всё-таки не любой восьмисимвольный пароль, а лишь любой восмьмибуквенный (латинские буквы одного регистра). И это при атаке на один конкретный salt, а не на всю базу. По сути, впрочем, это ситуации не меняет - типичные пароли подбираются намного быстрее случайных (даже если набор возможных символов больше), и, говоря об offline-атаках, пароли (или лучше фразы) должны быть сложнее, а md5crypt - действительно устарел. (В некотором смысле, он был устаревшим уже на момент создания, т.к. настраиваемое количество итераций уже было реализовано чуть раньше в BSDi BSD/OS и в свободной реализации FreeSec, предложенной для NetBSD в 1994-м году. Конкретно DES в FreeBSD использовать не стали бы, но опыт перенять могли бы.)

    <plug>
    Я буквально на прошлой неделе делал презентацию на схожую тему на PHDays (кстати, зря на OpenNet не было новости о PHDays). Я там тоже даю советы. ;-) Но спорные я стараюсь так и называть, и это не советы авторам отдельных программ или админам отдельных сайтов, а материал для дискуссии в сообществе. Последним слайдом я как раз предостерегаю от создания каждым своего метода хеширования - т.е. совет, противоположный тому, что дает phk.

    Вот мои слайды:
    http://www.openwall.com/presentations/PHDays2012-Password-Security/

    Здесь есть видео ("День второй. Трансляция из конференц-зала", 13:59):
    http://digitaloctober.ru/event/positive_hack_days

    На PHDays было много другого интересного - например, Sylvain Munaut демонстрировал превращение телефона в базовую станцию (9:11 утра там же) - и это только один пример.
    </plug>

     
     
  • 2.27, Аноним (-), 16:21, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > 2. За пару дней при миллионе проверок в секунду

    стобаксовый AMDшный GPU крушит порядка 80 миллионов SHA1 в секунду...

    А теперь прикинь: http://ck.kolivas.org/pictures/Mining/IMG_1240.JPG (Кон Коливас и его майнер биткоинов - 4x6990). Я даже представить себе боюсь сколько оно осиливает. Но могу предположить что близко к миллиарду. А теперь прикинь - отдельные маньяки ставят штук 20 таких системников где-нибудь. И они даже не являются датацентром. Так, чуваки с несколько k$ в кармане решившие подзаработать на скоростных вычислениях.

     
  • 2.29, Аноним (-), 16:29, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > 2. За пару дней при миллионе проверок в секунду подбирается всё-таки не
    > любой восьмисимвольный пароль, а лишь любой восмьмибуквенный (латинские буквы одного регистра).

    ну и проверки давно уже больше 1М на большинство алгоритмов: http://hashcat.net/oclhashcat-plus/

     
     
  • 3.113, Аноним (-), 19:11, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > http://hashcat.net/oclhashcat-plus/

    Q) Will the source be published?
    A) No.

    Кхе-кхе, запускать неизвестный бинарь делающий фиг знает что для взлома паролей? Этак можно нарваться на то что взломают взломщика. Если уж на то пошло, есть hashkill с исходниками.

     
     
  • 4.116, Аноним (-), 20:41, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    все равно никто исходники смотреть не будет.
    К тому же можно проверить антивирусом и запускать в песочнице
     
     
  • 5.117, arisu (ok), 20:49, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    о, практически эталонный пост на тему «как понимает безопасность обычный юзер».
     
  • 2.74, TS (ok), 00:30, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > 2. За пару дней при миллионе проверок в секунду подбирается всё-таки не
    > любой восьмисимвольный пароль, а лишь любой восмьмибуквенный (латинские буквы одного регистра).

    Ну Камп все таки говорил про md5crypt, там жеж 1000кратное хеширование MD5. Просто MD5 можно чуть поболе миллиарда в секунду щас на топовых GPU колбасит. :)
    Хотя совет изобретать свой алгоритм весьма странен конечно...

     
  • 2.82, TS (ok), 02:40, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, Александр, очень интересный и познавательный доклад.
     

  • 1.19, Аноним (-), 15:57, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > базирующийся на стойких хэшах, таких как SHA

    Ага, а он видел 100-долларовые GPU перебирающие 200 миллионов SHA-256 в секунду? :)

    Ну короче, пароль минимум 15 символов и ни в коем случае не из словарных слов :)

     
     
  • 2.32, Аноним (-), 16:37, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Длинный пароль ничем не поможет. Чем длиннее пароль чем больше шанс коллизий. И чем больше угнали паролей тем больше шанс взлома. Причем не линейно  - Парадокс дней рождения.
     
     
  • 3.51, sdfsfsf (?), 18:30, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока размер хеша больше размера пароля - вероятность коллизий крайне низка. (При "хорошей" хеш-функции, конечно)
     
     
  • 4.63, Аноним (-), 21:21, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    еще раз повторяю - Парадокс дней рождения.


     
     
  • 5.68, sdfsfsf (?), 22:26, 09/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Обоснуй.
     
  • 5.73, evgeny_t (ok), 00:25, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/

    ещё какие парадоксы знаешь ?
     
     
  • 6.80, Аноним (-), 02:09, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Еще знаю "парадокс скобок".Это когда люди считают, что употребление непарных скобочек вне математических выражений делает их умнее, пропорционально количеству скобочек. Но как обычно и бывает в парадоксах это только самообман и в реальности все с точностью  до наоборот.


     
  • 5.105, szh (ok), 17:36, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > еще раз повторяю - Парадокс дней рождения.

    Парадокс дней рождения для подбора пароля по конкретному хэшу роли не играет.

     
  • 3.83, pavlinux (ok), 04:03, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > И чем больше угнали паролей тем больше шанс взлома. Причем не линейно  - Парадокс дней рождения.

    По-твоему, вероятность выпадения двух шестерок в костях равна 32.6%, а не 16.1% как утверждает товарищ Бернулля?

     
     
  • 4.93, www2 (??), 09:24, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> И чем больше угнали паролей тем больше шанс взлома. Причем не линейно  - Парадокс дней рождения.
    > По-твоему, вероятность выпадения двух шестерок в костях равна 32.6%, а не 16.1%
    > как утверждает товарищ Бернулля?

    Про дни рождения - это немного о другом. Это вероятность выпадения двух одинаковых цифр при увеличении количества одновременно бросаемых костей. Две кости - маловероятно, три кости - более вероятно и т.п. Но вспомнили не к месту.

     
     
  • 5.101, sdfsfsf (?), 14:45, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он это вспомнил к поиску коллизий. Если ищется просто любая пара паролей, дающих один хеш на выходе, то, действительно, сложность будет 2^(n/2), а не 2^n при хеше n-ой разрядности (2^n возможных выходных значений). Это и есть парадокс дней рождения.

    При хранении паролей в хешированном виде и в случае утечки хешей это не играет роли.

     
  • 3.114, Аноним (-), 19:27, 10/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Поможет Шанс коллизий зависит лишь от числа попыток и числа хешей, если алгори... большой текст свёрнут, показать
     
     
  • 4.123, Аноним (-), 20:03, 11/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > (окей, 2^159 с учетом парадокса близнецов)
    > ну, кроме снижения в среднем на 1 бит множества перебора. А вас сильно большая разница: 2^159 или 2^160?

    2^80
    RTFM

     

  • 1.36, Аноним (-), 16:40, 09/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Пол-Хенинг Камп порекомендовал использовать собственный модифицированный алгоритм, базирующийся на стойких хэшах

    Будем считать, что автор имел в виду совместное использование нескольких проверенных алгоритмов, а не то, что я сначала подумал. Иначе мне страшно. %)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру