Citat:
Originally posted by Robert@Jan 26 2005, 10:50
Det är kul att läsa att det tar xxxx antal år att knäcka koden yyyy, men varför berättar inte all statistiker att Murphys lag inte alltid gäller, dvs vem har sagt att det är det absolut sista försöket du lyckas knäcka med?
Om det sägs att det tar 15år att kolla igenom alla kombinationer så borde det, statistiskt, i snitt ligga på halva den tiden, dsv 50% av tiden. Det är faktiskt precis lika stor sannolikhet att man knäcker ett lösenord på första "försöket" som på det absolut sista "försöket". Men det var ju lite ot! =)
|
Det är sant, men det är ändå i praktiken omöjligt att knäcka koden inom en rimlig tid. Om det tar 7,5 år för all världens samlade datorkraftr att knäcka koden, hur lång tid tar det då för en grupp illasinnade krackers att hitta salt A och salt B med deras x antal datorer till sitt förfogande Nog om det.
Det hela blir en smula löjligt när diskussionen handlar om utifall t.ex. md5 är bra eller inte. Om utgångspunkten är att alla koder går att knäcka, så behövs det med andra ord ingen kryptering. Kryptering är inte ett ultimat sätt att döja något utan bara ett sätt att dölja något under en begränsad tid. Det handlar således om hur länge man vill att sin infomation inte ska vara tillgänglig.
I ett militärt sammanhang kan tid för att dölja något handla om minuter till månader. Det kan gälla en order som ska verkställas omedelbart eller om några dagar. Det är den tiden man vill dölja den för fienden.
Om jag då sätter det i relation till en medlemshemsida, så är döljandet först och främst till för att dölja det för andra som jobbar med medlemssidan och som inte ska ha tillgång till koderna. I nästa steg kan döljandet vara avsett för olyckor, dvs. något går fel och någon utomstående får tillgång till registret. Denna utomstånde kan vara vem som helst och sannolikheten att den då ska sätta igång med en avancerad dekryptering är försumbar.
I nästa steg kan det kanske vara aktuellt att dölja koden för någon illasinnad person. Låt säga att jag vill komma åt alla inloggningsuppgifter för medlemmar på Lunarstorm. Verkligen intressant, eller hur. Då kan jag logga in i andras namn och skriva elaka saker och så får någon annan skulden. Säkert går det att göra mer elaka saker än det. Frågan är bara, om den person som sitter på de resurseran och kunskaperna har något intresse av att komma åt dessa inloggningsuppgifter.
Som jag ser det, så är nog största risken för att mitt lösenord ska missbrukas inte genom en attack utifrån mot ett register utan från dem som arbetar med registret.
När Anna Lindh låg på sjukhuset, vilka var det då som missbrukade registren? Ja, inte var det attacker utifrån utan från insidan.
Således skulle någon som arbetar med ett register kunna på skoj prova en medlems användarnamn och lösenord på en annan medlemssida och kanske ha tur att bli inloggad. Från det skojet skulle det kunna leda vidare till mer illasinnade saker. Kanske sälja uppgifter till någon med ont uppsåt.
Låt säga att Spray har alla lösenord i klartext. En peson som har tillgång till dem hamnar i spelmissbruk och finner att det går att tjäna pengar på att sälja användaruppgifterna. Om dessa uppgifter vore krypterade är nog sannolikheten att de skulle säljas lika med noll.