suit: Vorteile ein Passwort mit "Salt" zu speichern

Beitrag lesen

SELF-Forum

Vorteile ein Passwort mit "Salt" zu speichern

suit Homepage des Autors
Informationen zu den Bewertungsregeln

Hi suit.

Durch Kenntnis des Hashes und Nutzung einer Brute-Force- oder Rainbow-Table erhältst du durch eine Kollision kein gültiges Passwort mit dem du dich einloggen kannst.

Wenn das Passwort einfach mit dem Salt konkateniert wird, dann erhaeltst Du eben einen String, von dem das Passwort ein Teilstring ist. Das ist nun wirklich nicht erheblich besser.

Sicher ist das besser - durch die breitere Entropie kann man mit einer Kolision nichts mehr anfangen.

angenommen das Passwort ist foobar und dein Salt 123456 der Hash ist 1a2b3c4d

Dir ist der Hash und der Klartext bekannt.

Wenn du über deinen Angriff nun "bröckerlhusten" und "1234567890" als mögliche Klartext erhältst, kannst du dich mit diesen Phrasen nicht einloggen. Erst wenn du dediziert einen Klartext findest, der den Salt in der Verwendeten Form beinhaltet (also z.B. "123456foobar") kannst du unter Kenntnis des Salts das echte Passwort herrausfinden und dich einloggen.

Ohne Salt würdest du dich mit jeder Kollision einloggen können, ohne des Klartextpasswort zu kennen.

Beim Massenknacken von Passwörtern ist ein Salt hinterlich und erschwert das Vorhaben - beim gezielten Knacken eines einzelnen Passworts hingegen erleichtert ein Salt hingegen paradoxerweise das Auffinden des echten Passworts.

Bzw - wenn der Salt nicht bekannt ist, dann ist die notwendige Rainbowtabelle eben erheblich groesser, weil der verschluesselte Wert schlicht und einfach laenger ist.

Nicht notwendigerweise - bei einer Rainbow-Table reicht es, die Ketten länger zu machen. Die Tabelle wird dadurch kein gramm größer, sofern sich die Stringlänge in der Kette nicht ändert.

Je nach Umgebung liefert der Salt noch einen ganz entscheidenden Vorteil: Er entschaerft das Problem, dass Passwoerter von vielen Leuten scheisse gewaehlt werden, z.B. als Vornamen oder Woerter aus dem Woerterbuch. Wenn die ohne Salt verschluesselt werden, braucht ne darauf ausgelegte Rainbow-Attacke heutzutage u.U. nicht laenger als ein paar Sekunden, um sie zu knacken.

Siehe oben - das ist ansich kein Vorteil sondern ein entscheidender Nachteil von Salts bei dämlichen Passwörtern :)

Beitrag melden
Informationen zu den Bewertungsregeln
0 31

Vorteile ein Passwort mit "Salt" zu speichern

Simon
  • php
  1. 0
    suit
    1. 0
      suit
      1. 0
        Simon
    2. 0
      Bademeister
      1. 0
        suit
        1. 0
          Bademeister
          1. 0
            suit
            1. 0
              Bademeister
              1. 0
                suit
                1. 0
                  Bademeister
                  1. 0
                    suit
                    1. 2
                      Christian Seiler
  2. 0
    Jens Holzkämper
    1. 0
      suit
      1. 0
        Christian Seiler
        1. 0
          suit
          1. 0
            ChrisB
          2. 0
            Christian Seiler
            1. 0
              suit
              1. 0
                ChrisB
                1. 0
                  suit
                2. 0
                  Christian Seiler
                  1. 0
                    ChrisB
              2. 0
                Christian Seiler
                1. 0
                  suit
                  1. 0
                    Christian Seiler
                    1. 0
                      suit
                      1. 0
                        Christian Seiler
                        1. 0
                          suit
  3. 0
    hotti