|
ru.perl
- RU.PERL ----------------------------------------------------------------------
From : Tarasov Sergej 2:5020/400 29 Sep 2000 14:48:30
To : Aleksey Barabanov
Subject : Re: password salt
--------------------------------------------------------------------------------
AB> Вопрос практически закрыт. Hо я догадываюсь, что вы не словили. Объясню
AB> подробнее. Если вы внимательно посмотрите, что выдает crypt, то
AB> заметите, что в начало закодированной строки вписывается salt.
Я никогда не интересовался вопросами криптографии, но элементарной
логики достаточно, чтобы понять, что так и должно быть. А как иначе
компьютер сможет потом проверить пароль? Ведь каждый пароль шифруется
с новым salt. Значит затем, при проверке нужно узнать, с каким salt
был зашифрован этот пароль. Следовательно, это нужно где-то хранить.
Если же формировать salt из самого пароля, то это равносильно
шифровке вообще без всякого salt. То есть, для одного набора букв (пароля)
вы всегда будете получать один и тот же результат. Тогда кто мешает
поставить машину, которая будет сидеть, формировать всевозможные
пароли и вычислять результат шифровки. А затем добавлять это в большую
базу данных. Через пару недель взлом пароля превратится в поиск нужной
записи в базе данных. Использование случайного salt не делает ничего
другого, кроме как теперь после шифрования пароля мы получим один из
нескольких тысяч возможных результатов (по числу возможных salt).
В соответственное число раз должна вырасти и база данных со всеми возможными
паролями.
--- ifmail v.2.15dev5
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
