Re: Salt - ett substitut för dåliga lösenord?

[Bruce Harris]

On 20/05/07, Magnus Lindkvist <nauir at hotmail.com> wrote:
> Om man får tag på hasharna så är det väl ändå game-over? Och om jag hittar
> två identiska hashar i Windows så vet jag att personerna har samma lösen,
> men spelar det någon roll?
Men med det tänkandet, varför obfuskera lösenorden alls?
Vad det spelar för roll? (Ponera först att du har hasharna, men inte
admin-åtkomst) Ponera att två användare har identiska lösenord, och
den ena är en super-user, då kanske du kan få tag på den andras
lösenord genom andra källor, t ex genom att leta i dennes e-mail. (Som
exempelvis kommer åt genom personens dåligt skyddade hemdator)

> Jag hävdar igen att ett lösenord som är tillräckligt långa och komplicerade
> gör att saltet inte behövs. Det är då matematiskt vädligt jobbigt att
> generera alla kombinationer - om nu någon skulle få tag på hasharna :-)
Ja, men det är ett faktum att det finns personer som kommer att
använda dåliga lösenord, och då gäller det att det ändå ska finnas ett
lager av säkerhet. Om någon kommer över hasharna kan den extra tiden
en bruteforce betyda skillnaden mellan att hinna vidta en åtgärd och
att inte göra det.
Om man kunde vara säker på att alla använde säkra lösenord (Eller
tvingade dem) så skulle salt spela en betydligt mindre roll. Å andra
sidan, om man var säker på att ingen skulle komma åt pw-databasen
skulle man kunna lagra lösenorden o-obfuskerade.

/Didrik Madheden

-----BEGIN 2ROT13 MESSAGE-----
Low Bitrate Netlabel: <http://f-label.tojt.net/>
Electronic music forum:
<http://oxo-unlimited.com/forums>
Sätt på ett par flipflops, vippa på rumpan
och gör det här till en minnesvärd sommar!
-----END 2ROT13 MESSAGE-----