Интересные ссылки №203
Макс ИщенкоОпубликовано 5.02.2010 в Ссылки
Интересные ссылки за неделю:
- Оказывается, использовать хеш-функции типа md5 или даже sha1 для паролей это уже некомильфо — слишком быстро подбирается, How To Safely Store A Password | codahale.com
- Если вас зовут в стартап, вот готовый “калькулятор” для ваших опционов, payout.py – startupequitysimulator
- Марк Пилгрим опубликовал новую главу из своей книги HTML5, на этот раз про geolocation, You Are Here (And So Is Everybody Else) – Dive Into HTML5. Прекрасно, как и всегда.
- Следующий мажорный релиз PostgreSQL будет поддерживать репликацию, Waiting for 9.0 – Streaming replication
- Nine Things Developers Want More Than Money | Software by Rob — многовато слов, но в общем верно
- Facebook выложил в Open Source свой транслятор PHP->C++, HipHop for PHP: Move Fast
- На JavaScript уже делают вещи, которые нормальному девелоперу не понять, (fab) – a pure javascript DSL
- В прошлую субботу в Киеве прошел pycamp. Мои впечатления и отзывы других участников, http://maxua.posterous.com/-pycamp
(3 голосов, средний: 4.67 из 5)
Загрузка ...Понравилась статья? Подпишись на обновления по RSS/E-mail
Первая статья выглядит не убедительно.
If you’re willing to spend about 2,000 USD and a week or two picking up CUDA, you can put together your own little supercomputer cluster which will let you try around 700,000,000 passwords a second. And that rate you’ll be cracking those passwords at the rate of more than one per second.
Итак супер комп перебирает 700 лямов вариантов в сек.
It’s important to note that salts are useless for preventing dictionary attacks or brute force attacks. You can use huge salts or many salts or hand-harvested, shade-grown, organic Himalayan pink salt. It doesn’t affect how fast an attacker can try a candidate password, given the hash and the salt from your database.
Видим утверждение, что от прямого перебора или атаки по словарю общепризнанные алгоритмы сливают.
Считаем, если добавить к паролю в шесть символов соль в 30 символов, мы получим 36 символов, и считаем что пароль состоит из латинских букв и цифр, итого размещение 36 символов на 36 местах, что будет факториал и равен 3,71993E+41вариантов, итого супер компьютер переберет эти варианты за 5,31419E+32 секунд или 1,68512E+25 лет.
Где я ошибаюсь?
Статья подразумевает, что salt известен атакующему: given the hash and the salt from your database
Да, не так перевел. Спасибо
за транслятор PHP->C++ отдельное спасибо
Первая статья не просто выглядит неубедительно, она еще и решение проблемы предлагает заранее провальное. Любое решение, основанное на том, чтобы “затормозить” подбор паролей с помошью простого “утяжеления” алгоритмов обречено на провал. Этот вывод опирается 1) на закон Мура, 2) на появление огромных “ботнетов”.
Любое число необходимых для взлома лет с большим количеством нулей, которое сейчас представляется достаточным залогом безопасности, уже завтра может таковым не быть.
Не могу быстро нагуглить ссылки, но в прошедшем 2009-м году начали проходить сообщения про экспериментальный взлом WPA2 усилиями распределенных сетей, а ведь еще года два назад WPA2 считался более чем “достаточно” надежным.
Правда, впрочем, и то, что до сих пор в моем доме 90% вайфайныйх сетей все еще защищены WEP’ом.
Да про md5 бред.