Salt - ett substitut för dåliga lösenord?

[Magnus Lindkvist]

Jag och kollega gick en promenad idag och funderade lite på det här med salt
och hur *nix system funger. Efter mycket diskussion fram och tillbaka så kom
vi fram till att salt är bara ett substitut för dåliga lösenord. Eftersom
varken jag eller kollegan visste hur *nix hanterar salt så resonerade vi oss
till följande teori. (man skulle också kunna söka fram denna info på nätet
ist för att spamma ner en lista – men det är inte lika kul)

 

Ponera att vi bara använder siffror och inte bokstäver. Ponera också att
varje användarnamn är endast en siffra. Ponera att vi använder två siffror
salt. Exempel:

 

Login: 1

Salt: 2,3

Totalt: 123

 

Jag antar att 123 nu körs genom godtycklig hashalgoritm och vips har vi ett
hashat lösenord. Med denna teknik så skulle det alltså finnas 10 olika
sorters login och 100 olika sorters salt. Kombinerat så skulle det bli max
1000 kombinationer. En rainbowdatabas med 1000 hashar skulle mao kunna
knäcka alla tänkbara kombinationer.

 

Så nu kommer mina två frågor/påståenden:

1, Varför använda salt? Är det inte bättre att lära folk att ha säkra
(längre och komplexa) lösenord? Tvingar du användaren att ha ett tre tecken
långt lösen utan saltfunktion så blir det exakt samma resultat – eller? 

2, Används salt i Kerberos?

 

Magnus

 

PS
Jag ringde både Tom, Haba och Levitte för att få lite mer info runt detta
och tackar för deras assistans i tankeprocessen.

DS

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.stacken.kth.se/pipermail/stacken/attachments/20070520/6b585ee2/attachment.html