_Salt_-_ett_substitut_för_dåliga_lösenord?

[Magnus Danielson]

From: Harald Barth <haba at kth.se>
Subject: Re: _Salt_-_ett_substitut_för_dåliga_lösenord?
Date: Sun, 20 May 2007 23:42:22 +0200 (MEST)
Message-ID: <20070520.234222.131825813.haba at habarber.pdc.kth.se>

> 
> > Om man får tag på hasharna så är det väl ändå game-over? 
> 
> Unixar har i åratal haft hashar i /etc/passwd utan att det har
> varit game over eftersom plaintextattackar inte varit användbara
> mot bra lösenord med saltade hashar.

Lägg därtill att man nu dessutom lägger hasharna i en shadow som bara root
har tillgång till. För ett normalt system så är det relativt mycket game over
om man är root, så det brukar kvitta. Med kerberos och annat så blir inverkan
av root på en maskin inte lika stor.

> > Jag hävdar igen att ett lösenord som är tillräckligt långa och komplicerade
> > gör att saltet inte behövs.
> 
> Det kan fortfarande vara så att två personer tycker att
> "Ture4711Teknolog" är ett bra lösenord och set ser också vid första
> anblicken bra ut och kommer antagligen accepteras av något program som
> kollar "bra lösen". Dessa två kommer då veta att de har samma lösenord.

Tal som 17, 42 och 4711 borde inte få ingå i passwords på KTH. Men samtidigt
är det precis den typen av elimineringar som också kan vara farliga. Gör man
en bra blocker av passwords så skall man inte hårt blocka ord och fraser, bara
se till att sänka dess sannolikhet ned till dess normala slumptalsvariant.
Känner man till sin historia så vet man att strikt eliminering kan vara öppning
till knäckning.

> IMHO: Man behöver både och, bra lösenord och salt.

God säkerhet bygger på många olika åtgärder i skön förening. Det är
orkestreringen av dem som får det att funka. Ingen av metoderna är i sig det
som löser problemet, men väl ett delproblem. Salt är inte ett universalmedel,
men det löser ett specifikt problem. Gott, ett specifikt problem mindre.

MVH
Magnus