Sól uzyskana bezpośrednio z hasła

0

Chciałbym do hasła dokleić sól przed zahashowaniem, ale niestety rozwiązanie wymaga tego żeby sól ta nie była nigdzie zapisana a jedynie mogła być wyliczona z hasła

Czy hashowanie powiedzmy:

hasłohasłohasłohasło

zamiast podanego przez usera

hasło

zwiększy bezpieczeństwo (przez zwiększenie długości i potrzebę utworzenia dedykowanych tablic tęczowych) czy może wręcz przeciwnie (przez wprowadzenie do hasła pewnego schematu)?

0

Raczej nie powinno zaszkodzić, chyba, że w metodzie hashowania są jakieś błędy pozwalające to wykorzystać.

Motyw z tęczowymi tablicami wydaje się w porządku, tzn. nie będzie gotowych dla takich długości.

Oczywiście nie zaszkodzi wymyślić czegoś o minimalnie większym stopniu komplikacji, co dałoby jeszcze większe bezpieczeństwo.

1

Odporność na atak słownikowy się nie zmienia, dla takiego schematu bez SALT'a będzie łatwiej wygenerować tęczowe tablice, ale wymagało by to zmiany funkcji redukującej w programie generującym Rainbow Tables co znając życie każdy by olał bo wiąże się to z grzebaniem w źródłach programu i trzeba wiedzieć jak taką funkcję zbudować.
Gdybyś zapisał jednak salt jawnie np. w bazie - inny dla każdego usera to atak Rainbow Tables byłby wykluczony całkowicie. Mogę zapytać w takim razie dlaczego wykluczasz zapisanie salta jawnie w bazie? Wyliczenie salta na podstawie hasła nie podnosi bezpieczeństwa, ewentualnie nieco dłużej będą się tworzyć tablice - efekt podobny do wydłużenia hasła, tyle, że hash generuje się deko dłużej.

1

Ja powiem tak, solenie czymś generowanym na podstawie hasła nie jest soleniem, ale bardzo nieszczęśliwą modyfikacja funkcji hashującej.
Dla zdolnego łamacza haseł twoje pseudo solenie będzie wręcz uproszczeniem problemu.
Czyli utrudnisz życie ciołkom, którzy jedyni używają cudzych narzędzi, a fachowcowi ułatwisz sprawę.

0

Zwiększy bezpieczeństwo o tyle, że rzeczywiście wykluczy użycie istniejących tęczowych tablic.
Jednak jak @MarekR22 napisał, nie jest to solenie* tylko modyfikacja algorytmu, który nadal jest bez soli, więc teoretycznie możliwe jest wygenerowanie nowych tablic.

  • z punktu widzenia teorii informacji, sól to dodatkowa entropia (dodatkowa informacja). sól generowana z hasła nie wnosi natomiast do systemu żadnej entropii.

1 użytkowników online, w tym zalogowanych: 0, gości: 1