Salt - ett substitut för dåliga lösenord?

Wed May 23 07:25:12 CEST 2007

sön 2007-05-20 klockan 22:25 +0200 skrev Magnus Lindkvist:

> Jag antar att 123 nu körs genom godtycklig hashalgoritm och vips har
> vi ett hashat lösenord. Med denna teknik så skulle det alltså finnas
> 10 olika sorters login och 100 olika sorters salt. Kombinerat så
> skulle det bli max 1000 kombinationer. En rainbowdatabas med 1000
> hashar skulle mao kunna knäcka alla tänkbara kombinationer.

Från crypt(3) på min GNU/Linux:

  The glibc2 version of this function has the following  additional  fea-
  tures.   If  salt is a character string starting with the three charac-
  ters "$1$" followed by at most eight characters, and optionally  termi-
  nated  by  "$",  then instead of using the DES machine, the glibc crypt
  function uses an MD5-based algorithm,  and  outputs  up  to  34  bytes,
  namely  "$1$<string>$", where "<string>" stands for the up to 8 charac-
  ters following "$1$" in the salt, followed by 22 bytes chosen from  the
  set [a–zA–Z0–9./].  The entire key is significant here (instead of only
  the first 8 bytes).

Dvs. på en typisk modern GNU-dator så kommer man lagra hashade lösenord
i /etc/shadow (endast läsbar för root) med hashingalgoritm MD5 och salt
på 8 tecken, olika för varje användare och jag gissar att ett nytt salt
genereras för varje gång man byter lösenord.

> 1, Varför använda salt? Är det inte bättre att lära folk att ha säkra
> (längre och komplexa) lösenord? Tvingar du användaren att ha ett tre
> tecken långt lösen utan saltfunktion så blir det exakt samma resultat
> – eller? 

Tjae, varför skulle man inte använda salt? Det blir ju uppenbarligen
bättre med salt, frågan är om det är marginellt bättre. Jag föreslår en
titt på Wikipedia-artikeln som grund för tankar och diskussion:

http://en.wikipedia.org/wiki/Salt_%28cryptography%29

Det finns ju inget som hindrar att man har bra lösenord även med salt.
Att det står ett saltkar på bordet är kanske ett tecken på att kocken är
dålig, men lösningen torde vara att laga kocken (neeej, inte så), inte
att ta bort saltkaret.

> 2, Används salt i Kerberos?

Tror det. Kan bero på vilka kryptoalgoritmer man använder m.m.

/abo