21
Yleistä keskustelua / Vs: Turvattomat salasanat
« : 01.01.22 - klo:14.48 »Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.
Tiiviste on siis tehty niin, että pelkästään sitä tutkailemalla ei voi saada selville, mikä on salasana tiivistämättömänä? Entä jos hyökkääjä valmistelee tekosensa niin, että tekee ison joukon käyttäjätunnuksia ja liittää niihin eri salasanat? Voiko hän näiden tiivisteiden avulla päästä selville tiivistysmenetelmästä? (Jos siis murto onnistuu niin, että hän näkee sekä käyttäjätunnukset että niihin liittyvät salasanojen tiivisteet?)