Re: Salt - ett substitut för dåliga lösenord?
Didrik Madheden
didrik at kth.se
Sun May 20 22:41:56 CEST 2007
Saltet fyller väl även en till funktion, i det att omöjliggör direkt
kontroll av vilka användare som har identiska lösenord, om man har
hasharna.
Och visst ligger det något i att salt skyddar folk med dåliga
lösenord, men idm så är det ett operativsystems jobb att upprätthålla
en så säker miljö som möjligt under rådanade omständigheter. Det är
ett faktum att vissa kommer använda dåliga lösenord, och då får man
göra det bästa av situationen.
/Didrik Madheden
On 20/05/07, Magnus Lindkvist <nauir at hotmail.com> wrote:
> Jag och kollega gick en promenad idag och funderade lite på det här med salt
> och hur *nix system funger. Efter mycket diskussion fram och tillbaka så kom
> vi fram till att salt är bara ett substitut för dåliga lösenord. Eftersom
> varken jag eller kollegan visste hur *nix hanterar salt så resonerade vi oss
> till följande teori. (man skulle också kunna söka fram denna info på nätet
> ist för att spamma ner en lista – men det är inte lika kul)
>
>
>
> Ponera att vi bara använder siffror och inte bokstäver. Ponera också att
> varje användarnamn är endast en siffra. Ponera att vi använder två siffror
> salt. Exempel:
>
>
>
> Login: 1
>
> Salt: 2,3
>
> Totalt: 123
>
>
>
> Jag antar att 123 nu körs genom godtycklig hashalgoritm och vips har vi ett
> hashat lösenord. Med denna teknik så skulle det alltså finnas 10 olika
> sorters login och 100 olika sorters salt. Kombinerat så skulle det bli max
> 1000 kombinationer. En rainbowdatabas med 1000 hashar skulle mao kunna
> knäcka alla tänkbara kombinationer.
>
>
>
> Så nu kommer mina två frågor/påståenden:
>
> 1, Varför använda salt? Är det inte bättre att lära folk att ha säkra
> (längre och komplexa) lösenord? Tvingar du användaren att ha ett tre tecken
> långt lösen utan saltfunktion så blir det exakt samma resultat – eller?
>
> 2, Används salt i Kerberos?
>
>
>
> Magnus
>
>
>
> PS
> Jag ringde både Tom, Haba och Levitte för att få lite mer info runt detta
> och tackar för deras assistans i tankeprocessen.
>
> DS
> _______________________________________________
> Stacken mailing list, Stacken at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/stacken
>
>
-----BEGIN 2ROT13 MESSAGE-----
Low Bitrate Netlabel: <http://f-label.tojt.net/>
Electronic music forum:
<http://oxo-unlimited.com/forums>
Sätt på ett par flipflops, vippa på rumpan
och gör det här till en minnesvärd sommar!
-----END 2ROT13 MESSAGE-----
More information about the Stacken
mailing list