1. Accueil
  2. Question et réponse
  3. Rainbow Tables: Comment se défendre contre eux?

Rainbow Tables: Comment se défendre contre eux?

2010-04-20 13 views
0

J'ai récemment obtenu le l0pht-CD pour windows et l'ai essayé sur mon PC et ça marche !!Rainbow Tables: Comment se défendre contre eux?

2600hertz.wordpress.com/2009/12/22/100-windows-xp-vista-7-password-recovery

Je suis la conception d'un "login-Simulator" qui stocke PWD-s de la même manière. La mise en œuvre actuelle sera vulnérable à l'attaque ci-dessus. Plz pourrait-on illustrer (en termes aussi simples que possible), comment renforcer contre une telle attaque de tables arc-en-ciel.

MON OBJECTIF: Construire un «simulateur de connexion» aussi sûr que possible. (Lire le concours de piratage ;-))

Merci.

Source

2010-04-20 TheCodeArtist

+1

Vous voulez * renforcer la table arc-en-ciel *? Je dois admettre que je n'ai pas lu les URL que vous avez postées - mais normalement vous renforcez le processus de connexion contre l'utilisation des tables arc-en-ciel. Lisez ici: http://stackoverflow.com/questions/1012724/what-exactly-is-a-rainbow-attack et vous protégez contre ce genre d'attaques en utilisant un sel: http://en.wikipedia.org/wiki/Salt_ (cryptographie) – tanascius

+0

Je pense qu'il essaie en fait de renforcer le hachage. – SLaks

+1

@SLaks, @tanascius: Oui, je pense qu'il essaie de comprendre comment faire de son simulateur de connexion _defend_ contre les tables arc-en-ciel. Ce n'est pas très bien libellé. –

Répondre

10

Vous devriez utiliser bcrypt, qui a été conçu par des cryptographes professionnels pour faire exactement ce que vous cherchez.

En général, vous devez jamais inventer vos propres schémas de cryptage/hachage.
La cryptographie est extrêmement compliquée, et vous devriez vous en tenir à ce qui a été prouvé pour fonctionner. Toutefois, la réponse de base à votre question est d'ajouter un sel aléatoire par utilisateur et de passer à un hachage plus lent.

Source

2010-04-20 12:37:59 SLaks

+4

+1 n'essayez jamais d'inventer votre propre crypto-stuff – tanascius

+2

+1 pour le laisser aux professionnels: D – Jeriko

+0

@ SLaks. Merci pour bcrypt. En ce qui concerne le "sel" j'ai un doute. Si mon mot de passe est "test123" et que le sel est "petit sel", il peut être facilement cassé. Droite?? le but est de faire le sel "vraiment-long-et-computallement-dur-sel" Ai-je raison? ... – TheCodeArtist

13

Étant donné qu'une table arc-en-ciel est une série de chaînes de hachage précalculées pour divers mots de passe, elle est facilement mise en échec par adding a salt to the passwords. Parce que les fonctions de hachage enlèvent généralement une grande partie de la correspondance locale entre l'entrée et la sortie (c'est-à-dire, un petit changement dans l'entrée produit de grands changements de sortie apparemment indépendants), même un petit sel sera extrêmement efficace.

Mieux encore, le sel n'a pas besoin d'être secret pour que cela soit efficace; la table arc-en-ciel doit être recalculée pour toutes les combinaisons mot de passe-sel possibles.

Source

2010-04-20 12:38:41

+0

+1 pour arriver au point. Il n'a pas parlé de faire sa propre implémentation crypto. – joveha

 Questions connexes

  • Aucun problème connexe^_^