Harald Brombach (digi.no) Skrevet 2. september 2022 Rapporter Del Skrevet 2. september 2022 Slik kan passordet ditt knekkes Lenke til kommentar
F3NMH3OO Skrevet 5. september 2022 Rapporter Del Skrevet 5. september 2022 Grei artikkel, selv om dette ikke akkurat er noen nyhet for oss som har jobbet med IT en stund. Artikkelen burde muligens forklare bedre at "passordhasher" er en fil som inneholder "hashede" passord. Og for at metoden beskrevet i artikkelen skal fungere må man ha tilgang til passordhasher fila. Burde vel også si at det å beskytte slike filer er kritisk, da en hacker som får tak i en slik fil og har noen av verktøyene beskrevet i artikkelen med neste 100 % sannsynlighet vil kunne klare å knekke noen av passordene siden det alltid finnes brukere som har altfor dårlige passord (f.eks. katt, hund m.m.) Dette kan selvfølgelig bøtes på med strenge krav til hva som defineres som et gyldig passord (minimumslengde, bruker av spesialtegn, både bokstaver og tall m.m.). Lenke til kommentar
qualbeen Skrevet 5. september 2022 Rapporter Del Skrevet 5. september 2022 (endret) Sitat Hashingfunksjoner fungerer i prinsippet bare den ene veien. Verdien som mates inn vil i de aller fleste tilfeller føre til at det regnes ut en unik hashverdi. Ingen andre inndataverdier skal føre til den samme hashverdien. I motsatt fall kalles det for en kollisjon. Hashingfunksjoner hvor det har blitt avdekket kollisjoner, regnes ikke lengre som sikre. Dette er vel strengt tatt feil. Alle hashing-funksjoner kan gi kollisjon. Alle! Det er riktignok sykt vanskelig å finne to input-strenger som gir samme hash. Men det vil finnes. En hash har nemlig en avgrenset lengde. F.eks 256 lang. Dermed er det en begrenset mengde ulike hasher som kan genereres. Med uendelig forskjellig input som kan puttes inn, sier det seg selv at kollisjon både kan og vil forekomme. Så lenge kolliderer forekommer naturlig, og algoritmen bak ikke lager spesifikke mønstre eller lignende, er ikke dette et problem. At eldre algoritmer (f.eks MD5) regnes som usikker, skyldes blant annet rainbow tables, men også noe rundt selve måten hashen genereres, mener jeg å huske - eller? Kollisjoner kunne oppstå, men det er ikke i seg selv et stort problem. Så lenge kollisjonene ikke oppstår med all input, da ... I klartekst trenger ikke en hacker å vite passordet ditt. Det han trenger er en tilfeldig samling tall og bokstaver som tilfeldigvis genererer samme hash som ditt passord gjør. (Uten kjennskap til ditt passord eller din hash er dette veldig vrient å gjette seg frem til. I praksis umulig - bare hash-algoritmen byr på mange nok muligheter.) Eks.: Hvis jeg lager min egen hash-funksjon som kun er 4 tegn lang, a-z og 0-9, gir dette 33 x 33 x 33 x 33 muligheter. Nesten 1,2 millioner ulike hasher med andre ord. Prøver du denne funksjonen med ca 2 millioner forskjellig input, har du fått ekstremt mange kollisjoner! 🤪😛 Så en kollisjonsfri algoritme kjennes så vidt jeg vet ikke til. Hele designet rundt hash er å komprimere input ned til en gitt lengde. Dermed vil det alltid være teoretisk mulighet! Endret 5. september 2022 av qualbeen Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå