Какова вероятность нахождения возможных паролей, если известны первые 5 цифр хешированного значения SHA-1?

Question

случилось, чтобы прочитать о службе, которая проверяет пароль против часто используемых / взломанных.

https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

Данный пароль хэшируется (SHA-1), и затем первые 5 символов хэша сравниваются с обычно используемыми.Этот сервис предоставляется через API.Это может означать, что первые 5 цифр хэша открыты для внешнего мира.Разве это не риск, который принимают пользователи API?Какова вероятность нахождения возможных паролей (например, радужных таблиц), если известны первые 5 цифр хэшированного значения SHA-1?

Также, если мы не находим совпадающую запись - это указывает на то, чтопароль отсутствует в списке pwned set.Разве это не ключ к тому, что пароль находится за пределами этого набора?

Answer 1

На все, что вы спросили (и почему первый комментарий в ответ на ваш вопрос не актуален), вы получите ответ либо в сообщении в блоге, на которое вы ссылаетесь, либо в последующем обсуждении в комментариях.Вкратце:

Первые 5 символов означают, что существует 16 ^ 35 различных возможных суффиксов.Общее количество возможных значений, которые исходный пароль мог бы быть, бесконечно.

Можно привести аргумент, что закон вероятности определяет, что основной пароль, скорее всего, будет уже в HIBP и тамс более высоким счетом распространенности, но только из одного хеш-префикса у вас нет абсолютно ничего, чтобы проверить это предположение.

И даже если вы могли бы надежно угадать действительный пароль, контекст имени пользователя отсутствуетэто связано с.В зависимости от того, как он запрашивается, может также не быть контекста относительно того, какая служба проверяет API, следовательно, нет информации о том, где на самом деле используется пароль.

И если вы все еще параноик, после всего этого просто загрузитехэши и используйте их локально 101