2012-08-22 2 views
1

우분투 12.04에서 나는 여러 사용자와 암호를 만든 다음 즉시 리퍼으로 암호를 해독하려고했습니다. 하나의 암호는 매우 강력하지만 다른 암호는 내 단어 목록에 있습니다.소금기가있는 sha512 해시 이해 및 크래킹

존은 아직 실행 중이지만 약 20 분 내에 두 개가 금이갔습니다.

내가 읽는 모든 것은 소금이 알려져 있는지 아닌지에 대해 이야기합니다. 예를 들어이 해시를 가지고 :

john:$6$YiP34XiXdXyh9fZn$JrbLMb.VGncFzEyBlz5YsKUim.UE5JLPvFhfcgAH4lz.usOrh.lic8IrQx0PRMIvIIIK4KnaTs9fiEXwNOLJ1/:1003:1003:John,,,:/ 

소금은 다음과 같습니다

YiP34XiXdXyh9fZn 

, 맞죠? 내말은, 항상 알려지지 않았 니? 그래서 소금은 실제로 무언가를하는 것이 아니라 무지개 테이블을 사용하는 것을 방지합니다.

또한,이 게시물이 있습니다 :

How long to brute force a salted SHA-512 hash? (salt provided)

그에 따르면, SHA512는 기본적으로 모든 암호는 단어 목록에 있지 않으면 금이 될 수 없다. 그 지위는 약 1 년 전 누구도 새로운 통찰력을 가지고 있습니까? 나는 크래킹 해시 (cracking hashes)에 관한 좋은 자원을 찾기가 어렵다. 거기에있는 모든 정보는 해시 생성 및 비밀번호 보호에 관한 것입니다. 당신의 예에서

+0

[해시 된 암호 해싱 - 제대로하고 있습니까?] (http://crackstation.net/hashing-security.htm)를 읽으셨습니까? 염석, 암호 해독 등에 매우 유용한 소개입니다. –

+0

매우 도움이되는 훌륭한 제안입니다. 그래서 사람들이 소금을 알고 있거나 말하지 않은 것을 읽었을 때 소금이 항상 해시의 일부가되어야하기 때문입니다. 나는 무차별 적으로 sha512를 강요하는 것에 대해 아직도 궁금합니다. 암호가 단어 목록에없는 경우 할 수 있습니까? – user1616244

+0

이것에 관해서 : "그것은 항상 알려지지 않았습니까? 소금은 실제로 무지개 테이블을 사용하지 못하도록 보호합니다."소금은이 목적을위한 것이 아니라 고유 한 고유 한 키를 추가하는 것입니다. 암호 당. – mhvvzmak1

답변

1
  1. 소금은 YiP34XiXdXyh9fZn (base-64 encoded)입니다.

  2. 예,이 경우 소금은 무지개 테이블에 대해서만 보호합니다.

  3. SHA512 지금도 안전합니다. 공격자는 암호 목록이 필요합니다.

1

이 게시물은 정말 오래된 것이지만 어쨌든 이것을 고치고 싶습니다.
레인보우 테이블 공격뿐만 아니라 전체 데이터베이스에 대한 일반적인 공격에도 해당됩니다.
pw 데이터베이스를 캡처 한 공격자는 벙어리가 아니며 모든 해시를 별도로 공격하지 않습니다.
그는 즉시 그들을 공격 할 것입니다.
그래서 예를 들어 계산할 때마다 해시마다 사전 공격을 한 다음 db의 모든 해시와 비교할 수 있습니다.
그는 임의의 소금으로 모든 pw에 대해 모든 해시를 개별적으로 계산해야합니다.
이것은 해시 수의 요인에 의해 거의 느려질 것입니다.
소금에 절인 큰 데이터베이스는 일반 해시 dbs보다 공격하기가 훨씬 더 어렵습니다.