_Salt_-_ett_substitut_för_dåliga_lösenord?
Harald Barth
haba at kth.se
Sun May 20 23:42:22 CEST 2007
> Om man får tag på hasharna så är det väl ändå game-over?
Unixar har i åratal haft hashar i /etc/passwd utan att det har
varit game over eftersom plaintextattackar inte varit användbara
mot bra lösenord med saltade hashar.
> Och om jag hittar
> två identiska hashar i Windows så vet jag att personerna har samma lösen,
> men spelar det någon roll?
Jo, om du är den ena och Administrator är den andra "personen" ;-)
> Jag hävdar igen att ett lösenord som är tillräckligt långa och komplicerade
> gör att saltet inte behövs.
Det kan fortfarande vara så att två personer tycker att
"Ture4711Teknolog" är ett bra lösenord och set ser också vid första
anblicken bra ut och kommer antagligen accepteras av något program som
kollar "bra lösen". Dessa två kommer då veta att de har samma lösenord.
Eller jag kanske har hashen av "Ture4711Teknolog" på min
all-lösenords-DVD som jag säljer. Är hashen saltad så multipicerar sig
den mängden med antalet möjliga salt, är den inte det så behöver jag
bara vänta tills en sådan hash kommer förbi på nätet.
> Det är då matematiskt vädligt jobbigt att
> generera alla kombinationer - om nu någon skulle få tag på hasharna :-)
http://www.faqs.org/faqs/kerberos-faq/general/section-25.html
# In Kerberos 4, a salt was never used. The password was the only input to the
# one-way hash function. This has a serious disadvantage; if a user happens to
# use the same password in two Kerberos realms, a key compromise in one realm
# would result in a key compromise in the other realm.
#
# In Kerberos 5 the complete principal name (including the realm) is used as
# the salt. This means that the same password will not result in the same
# encryption key in different realms or with two different principals in the
# same realm.
Så även ett AD gör så när den kör som KDC, annars skulle det inte vara
kompatibelt, eller hur? Om den sedan gör andra saker (som att spara
lösenordet för andra användningar i annat format) vet jag inget om.
IMHO: Man behöver både och, bra lösenord och salt.
Harald.
More information about the Stacken
mailing list