Радужные Столы: Как защититься от них?

Question

Я недавно получил l0pht-CD для Windows и опробовал его на своем ПК, и РАБОТАЕТ !!

2600hertz.wordpress.com / 2009/12/22/100-Windows-XP-Vista, 7-восстановления пароля

• Я также прочитал kestas.kuliukas.com / RainbowTables /

Я создаю "Login-Simulator", который сохраняет pwd-s аналогичным образом. Текущая реализация будет уязвима для вышеуказанной атаки. Плз может кто-нибудь проиллюстрировать (как можно более простыми словами), как укрепиться против такой атаки радужных таблиц.

МОЯ ЦЕЛЬ: Постройте "Симулятор входа в систему", чтобы он был максимально безопасным. (Прочитайте Конкурс хакерских атак ;-))

Спасибо.

Answer 1

Поскольку радужная таблица представляет собой серию предварительно вычисленных цепочек хэшей для различных паролей, она легко может быть сорвана путем добавления соли к паролям . Поскольку хеш-функции обычно удаляют большую часть локального соответствия между входом и выходом (то есть небольшое изменение во входных данных приводит к большим, казалось бы, не связанным изменениям в выходных данных), даже небольшая соль будет чрезвычайно эффективной.

Лучше всего, соль не должна быть секретной, чтобы это было эффективным; Радужная таблица должна быть пересчитана для всех возможных комбинаций пароля и соли.

Answer 2

Вы должны использовать bcrypt , который был разработан профессиональными криптографами, чтобы делать именно то, что вы ищете.

В общем, вы никогда не должны изобретать свои собственные схемы шифрования / хеширования.
Криптография чрезвычайно сложна, и вы должны придерживаться того, что доказало свою эффективность.

Однако основной ответ на ваш вопрос заключается в добавлении случайной соли для каждого пользователя и переключении на более медленный хеш.