[eliasson]

Citat:

Originally posted by BoXon@Mar 17 2008, 12:32
Om någon gör en brute-force så kommer det ju ändå inte spela någon roll om saltet
är 10000000 tecken eller inget alls.

Klart det gör - personen i fråga måste isf bruteforca på en salt som är kanske 100 tecken + användarens lösenord.
Vi säger då att salten är A-Z, a-z, 0-9, och specialtecken, samt 100 tecken långt samt att du då bakar in användaren lösenord i denna hash.
Om inte angriparen vet salten och hur din algoritm ser ut, så måste personen även bruteforca salten -- eller hur?

[SimonP]

Citat:

Originally posted by stakes@Mar 18 2008, 12:58
Googlade runt lite, och läste om en kille som hade bruteforcat ett sha256 lösenord som var "test" alltså bara 4 tecken, det tog honom (med en modern persondator) 4 dagar. Säg att man tvingar lösenord att vara 8 tecken långa och har dom i sha512, kan man kanske sova lite lungt, iallfall om man byter lösenord varje vecka/månad?

Källa: http://khsw.blogspot.com/2005/01/sha256-br...d-revealer.html

Isåfall måste han gjort något helt fel, ett vanlig 4 teckens lösenord i sha256 knäcks snabbare än du hinner blinka.

Med sha256 + minst 8 tecken lösenord + salt så har man en väldigt bra grund.

[stakes]

Jag vet att en md5 hash tar några sekunder att knäcka vid ett sådant svagt lösenord (har själv provat). SHa256 är ju en jämförelsevis ganska strong hash, har du provat, eller utgår du från att det är samma sak? No pun intended, bara nyfiken.

[Robert]

Citat:

Originally posted by stakes@Mar 18 2008, 13:58
Googlade runt lite, och läste om en kille som hade bruteforcat ett sha256 lösenord som var "test" alltså bara 4 tecken, det tog honom (med en modern persondator) 4 dagar. Säg att man tvingar lösenord att vara 8 tecken långa och har dom i sha512, kan man kanske sova lite lungt, iallfall om man byter lösenord varje vecka/månad?

Källa: http://khsw.blogspot.com/2005/01/sha256-br...d-revealer.html

Kan han med bruteforce mena att han kör via (web)applikationens inloggningsgränssnitt... då kan det säkert ta 1-4sekunder per fråga?

[Robert]

Citat:

Originally posted by stakes@Mar 18 2008, 14:26
Jag vet att en md5 hash tar några sekunder att knäcka vid ett sådant svagt lösenord (har själv provat). SHa256 är ju en jämförelsevis ganska strong hash, har du provat, eller utgår du från att det är samma sak? No pun intended, bara nyfiken.

Mmm om man har ett ord som "test" som password så kan man via en dictionaryattack hitta lösenordet oavsett om det är MD5 eller SHA512 + salt + senap + ketchup....om man gör intrångsförsöket via samma interface som saltar vill säga (inloggningssidan i din webapp)

[yoggi2k5]

Står ju inte att lösenordet var "test", han skriver ju endast att det var ett lätt lösenord.
På bilden ser man ju att lösenordet "test" har "knäckts" under 9 minuter.
Detta är med snubbens egna program, vilket förklarar en del

Vilken algoritm man använder spelar ju mindre roll vid en brute-force attack.