Соление паролей

Question

Я мог бы действительно использовать некоторые разъяснения о том, как использование случайной соли защищает от атак радужного стола. Это просто не для меня.

Предположим, что существует глупое приложение, которое требует, чтобы пароли были ровно пятью символами или меньше, и которое солит эти пароль-слова случайной солью из девяти символов. Если у меня есть радужная таблица с предварительно вычисленными хэшами всех комбинаций символов, состоящих из 14 или менее символов, как случайная соль обеспечивает дополнительную безопасность? В этом случае не будет хэшированное значение случайной комбинации соль + пароль присутствовать на радужном столе?

Я прочитал несколько мест, где использование соли заставит взломщика создать совершенно новый радужный стол; аналогично, случайная соль для каждого пароля потребует новой радужной таблицы для каждой соли. Почему?

Answer 1

Если у кого-то действительно есть радужная таблица, содержащая хэш всех возможных комбинаций символов, то нет, соление не поможет.Но даже если предположить, что A-z, a-z, 0-9 в качестве допустимых символов, это 62 ¹⁴ = 1.2x10 ²⁵ 14-символьные пароли.Таким образом, требуется 170 миллиардов петабайт памяти.

Учитывая, что это невозможно, у злоумышленника должна быть таблица на намного меньшего размера, содержащая только наиболее вероятные строки символов (например, все слова всловарь, смешанный с цифрами и т. д.).Если вы добавите соль, то эта таблица станет бесполезной.Если соль фиксирована (и известна), то злоумышленник может пересчитать новую таблицу.Но если каждый пароль имеет свою соль, это тоже не сработает.

Answer 2

Один из более быстрых, но в некоторой степени эффективных способов узнать, что такое пароль, например, путем создания хэша для всех слов в словаре.Люди, которые пытаются взломать пароли, знают, что они ищут, и из-за ограниченной скорости вычислений они сужают свой поиск до часто используемых паролей.Используя соль, эти часто используемые слова никогда не будут использоваться в качестве пароля.