Jak szybko można złamać 10-znakowe, losowe hasło zahashowane SHA-256? - 5d 08:57:24

[Grandalf]

Zaloguj lub Zarejestruj się aby zobaczyć!

W przykładzie nie użyto znaków specjalnych, co by trochę wydłużyło łamanie. Jednak już sam fakt łamania 10-znakowych haseł (wykorzystując konsumencką kartę graficzną) w tak krótkim czasie może budzić obawy

 

[al]

Zaloguj lub Zarejestruj się aby zobaczyć!

W przykładzie nie użyto znaków specjalnych, co by trochę wydłużyło łamanie. Jednak już sam fakt łamania 10-znakowych haseł (wykorzystując konsumencką kartę graficzną) w tak krótkim czasie może budzić obawy

Mnie to bardziej przeraża jak serwisy uniemożliwiają ustawienie hasła dłuższego niż np. 15 znaków. Jeszcze jak to jest jakiś mało istotny serwis i konto jest bo musi być żeby coś przeczytać czy napisać ale ja się spotkałem z jakąś księgarnią gdzie musiałem podać dane do wysyłki.

 

[Grandalf]

Mnie to bardziej przeraża jak serwisy uniemożliwiają ustawienie hasła dłuższego niż np. 15 znaków. Jeszcze jak to jest jakiś mało istotny serwis i konto jest bo musi być żeby coś przeczytać czy napisać ale ja się spotkałem z jakąś księgarnią gdzie musiałem podać dane do wysyłki.

Ja natomiast spotkałem się z pewnym serwisem płatniczym, gdzie można ustanowić hasło do 25 znaków, ale jedynie używając standardowych znaków A-Z, a-z, 0-9. Więc też to wobec postępującego wzrostu mocy hardware nie jest jakimś zabezpieczeniem.

 

[spamtrash]

Ja natomiast spotkałem się z pewnym serwisem płatniczym, gdzie można ustanowić hasło do 25 znaków, ale jedynie używając standardowych znaków A-Z, a-z, 0-9. Więc też to wobec postępującego wzrostu mocy hardware nie jest jakimś zabezpieczeniem.

Zasadniczo to sprawa lezy po obu stronach: usera i wlasciciela serwera. User, co oczywiste, moze ustawic sobie dupa8 (Albo nie przymierzajac takie jak ja mam tutaj). Natomiast po stronie serwera moznaby rozwazyc dosc skuteczne opoznienie, np. koniecznosc odczekania po 3 nieudanej probie, wpisania czegos tam (niekoniecznie captcha, znam serwis ktory uzywa jednej z 3 dobieranych losowo metod) po 5 probie i automatyczny reset hasla po np. 20 probie. Dosc skutecznie spowalnia to tempo probkowania.

Natomiast konkurs dotyczy "hasel" generalnie, np. w przypadku wycieku bazy hashy. Tu sprawa lezy wylacznie w sile i dlugosci hasla, ale... nie ludzcie sie, prosze. Gdzies tu kiedys pisalem o wykorzystywaniu w tym celu klastra kart graficznych chociazby takiej jak przy kopaniu bitcoinow czy rowniez klastra PS. To jest naprawde szybkie....

PS: hasla jednorazowe tez nie sa doskonale, maja jedna zasadnicza wade: sa okreslonej dlugosci. Istotne jest tutaj okreslenie czasu waznosci hasla jednorazowego, co czasem zawodzi np. w przypadku "sztywnej" listy hasel na karteczce lub w pliku txt