RE: Salt - ett substitut för dåliga lösenord?

Magnus Lindkvist nauir at hotmail.com
Sun May 20 22:53:11 CEST 2007


Om man får tag på hasharna så är det väl ändå game-over? Och om jag hittar
två identiska hashar i Windows så vet jag att personerna har samma lösen,
men spelar det någon roll?

Jag hävdar igen att ett lösenord som är tillräckligt långa och komplicerade
gör att saltet inte behövs. Det är då matematiskt vädligt jobbigt att
generera alla kombinationer - om nu någon skulle få tag på hasharna :-)


Magnus

-----Original Message-----
From: stacken-bounces at stacken.kth.se [mailto:stacken-bounces at stacken.kth.se]
On Behalf Of Didrik Madheden
Sent: den 20 maj 2007 22:42
To: Stacken club general discussion
Subject: Re: Salt - ett substitut för dåliga lösenord?

Saltet fyller väl även en till funktion, i det att omöjliggör direkt
kontroll av vilka användare som har identiska lösenord, om man har
hasharna.
Och visst ligger det något i att salt skyddar folk med dåliga
lösenord, men idm så är det ett operativsystems jobb att upprätthålla
en så säker miljö som möjligt under rådanade omständigheter. Det är
ett faktum att vissa kommer använda dåliga lösenord, och då får man
göra det bästa av situationen.

/Didrik Madheden

On 20/05/07, Magnus Lindkvist <nauir at hotmail.com> wrote:
> Jag och kollega gick en promenad idag och funderade lite på det här med
salt
> och hur *nix system funger. Efter mycket diskussion fram och tillbaka så
kom
> vi fram till att salt är bara ett substitut för dåliga lösenord. Eftersom
> varken jag eller kollegan visste hur *nix hanterar salt så resonerade vi
oss
> till följande teori. (man skulle också kunna söka fram denna info på nätet
> ist för att spamma ner en lista – men det är inte lika kul)
>
>
>
> Ponera att vi bara använder siffror och inte bokstäver. Ponera också att
> varje användarnamn är endast en siffra. Ponera att vi använder två siffror
> salt. Exempel:
>
>
>
> Login: 1
>
> Salt: 2,3
>
> Totalt: 123
>
>
>
> Jag antar att 123 nu körs genom godtycklig hashalgoritm och vips har vi
ett
> hashat lösenord. Med denna teknik så skulle det alltså finnas 10 olika
> sorters login och 100 olika sorters salt. Kombinerat så skulle det bli max
> 1000 kombinationer. En rainbowdatabas med 1000 hashar skulle mao kunna
> knäcka alla tänkbara kombinationer.
>
>
>
> Så nu kommer mina två frågor/påståenden:
>
> 1, Varför använda salt? Är det inte bättre att lära folk att ha säkra
> (längre och komplexa) lösenord? Tvingar du användaren att ha ett tre
tecken
> långt lösen utan saltfunktion så blir det exakt samma resultat – eller?
>
> 2, Används salt i Kerberos?
>
>
>
> Magnus
>
>
>
> PS
>  Jag ringde både Tom, Haba och Levitte för att få lite mer info runt detta
> och tackar för deras assistans i tankeprocessen.
>
> DS
> _______________________________________________
> Stacken mailing list, Stacken at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/stacken
>
>

-----BEGIN 2ROT13 MESSAGE-----
Low Bitrate Netlabel: <http://f-label.tojt.net/>
Electronic music forum:
<http://oxo-unlimited.com/forums>
Sätt på ett par flipflops, vippa på rumpan
och gör det här till en minnesvärd sommar!
-----END 2ROT13 MESSAGE-----
_______________________________________________
Stacken mailing list, Stacken at stacken.kth.se
https://lists.stacken.kth.se/mailman/listinfo/stacken



More information about the Stacken mailing list