Комментарии 10
Разве Solar Designer — это компания? Всегда считал, что это человек.
программы для подбора паролей ... сверка зашифрованного пароля со всеми паролями в базе
А как они работают вообще? Как они имеют доступ к базе с хэшами?
А как они работают вообще? Как они имеют доступ к базе с хэшами?
Со стороны злодея, да, работают на слитых базах. Со стороны своих админов - на своих для выявления слабых паролей и посылания "ай-яй-яй" писем потенциальным объектам атаки )).
Для хранения паролей можно замутить какие-нибудь шифрованные базы. Которые сливать в том виде, как хранятся на диске бессмысленно. Есть же просто диски с шифрованием.
Для хранения паролей можно замутить какие-нибудь шифрованные базы
О чём вы? Хранить шифрованные пароли по всем параметрам хуже, чем хешированные.
Которые сливать в том виде, как хранятся на диске бессмысленно.
А что с ними происходит при сливе? Они взрываются? Теряют способность к расшифровке? Самоуничтожаются?
Видите ли в чём дело. Парольные базы нужны для того, чтобы из них постоянно читать. И иногда писать. Поэтому, всегда есть моменты, когда база расшифрована. Вот тут она и сливается. И именно поэтому придуманы более удобные и более безопасные средства для работы с паролями. Такие, как хеширование. Когда открытае пароли в целевой системе не светятся вообще никогда кроме момента расчёта от них хеша.
Есть же просто диски с шифрованием.
Никто не запрещает хранить парольные базы на шифрованых дисках. От сливов это не защитит. Защитит от физической кражи носителей из датацентра или нарушения протокола утилизации. Да, от этого тоже надо защищаться, всё верно.
О чём вы? Хранить шифрованные пароли по всем параметрам хуже, чем хешированные.
Базы с хешированными паролями хранить на шифрованном диске\в зашифрованном виде, как дополнительная защита от подбора по хешам.
Поэтому, всегда есть моменты, когда база расшифрована.
Есть разные методы - https://ru.wikipedia.org/wiki/Шифрование_базы_данных
Базы с хешированными паролями хранить на шифрованном диске\в зашифрованном виде, как дополнительная защита от подбора по хешам.
Как я и написал, никто не мешает это делать, но ни от слива ни от последующего подбора это не спасает. Сливы, в основном, делаются не путём кражи/копирования физического носителя. Другой вектор атаки.
Есть разные методы - https://ru.wikipedia.org/wiki/Шифрование_базы_данных
Из перечисленных там все в той или иной мере выдают расшифрованные данные по условному SELECT'у. Кроме метода "Шифрование на уровне приложений". Но именно это и делает хеширование :). Зашифровать каждый хеш сверху дополнительно, конечно, можно, но это малоосмысленно, тут полезнее усиливать функцию кеширования.
Радужные таблицы стоило бы упомянуть
перелагаю тему для следующей статьи - написание собственного правила для hashcat чтобы брутить пресловутую керилицу, oneRuleToRuleThemAll.rule не канает по умолчанию (scriptKidieSadness.jpg))(
John the Ripper и Hashcat. Эволюция брутфорса