Advertisement
Keraxel

Errata / Kompendium bezpieczeństwa haseł, cz. 1

Feb 19th, 2013
391
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. /*
  2. * Poprawki do artykułu "Kompendium bezpieczeństwa haseł – atak i obrona (część 1.)"
  3. * Link: http://sekurak.pl/kompendium-bezpieczenstwa-hasel-atak-i-obrona/
  4. * Autor poprawek (komentarzy): Keraxel
  5. */
  6.  
  7. - funkcja haszująca -> funkcja skrótu
  8. - nazwa "funkcja haszująca" nie jest do końca poprawna, por. http://webcache.googleusercontent.com/search?q=cache:N9xpdoJuKPgJ:www.cs.rit.edu/~spr/PUBL/k01.ps+&cd=4&hl=pl&ct=clnk
  9. - wysoka odporność na kolizje -> silna odporność na kolizje
  10. - duża zmienność wyjścia -> na to jest też lepsza nazwa, niestety nie pamiętam jaka
  11. - w funkcji skrótu istotna jest także szybkość wykonywania obliczeń - dobra funkcja skrótu jest szybko obliczalna
  12. - solenie bardzo mocno utrudnia łamanie atakiem słownikowym; wyjątkiem jest sytuacja, gdy atakujący zna sól
  13.  
  14. + "Ataki online to stosunkowo proste techniki polegające na wysyłaniu żądań do usług systemu. Żądania te zawierają tysiące danych uwierzytelniających. Mimo swojej prostoty ataki online okazują się zaskakująco efektywne, w szczególności w systemach, które udostępniają wiele usług."
  15. - jedno żądanie zawiera tysiące danych uwierzytelniających? raczej tysiące żądań zawierających pojedyńcze dane uwierzytelniające
  16. - ataki bruteforce (zachłanne poszukiwanie) i słownikowe należą też do ataków online
  17.  
  18. + "Bezpieczna funkcja hashująca (Blowfish, DES lub MD5)"
  19. - DES i Blowfish są funkcjami szyfrującymi, nie funkcjami skrótu
  20.  
  21. + "5. vBulletin
  22. md5(md5(pass).salt(3) – vBulletin < 3.85
  23. md5(md5(pass).salt(30) – vBulletin >= 3.85"
  24. - takie działanie nie zwiększa przypadkiem ilości kolizji?
Advertisement
RAW Paste Data Copied
Advertisement