Kirjoittaja Aihe: Varoittava sivusto salasanoista ja muutakin.  (Luettu 1800 kertaa)

Qup

  • Käyttäjä
  • Viestejä: 62
  • Muisti hyvä mutta lyhyt.
    • Profiili
Varoittava sivusto salasanoista ja muutakin.
« : 27.12.06 - klo:16.59 »
http://www.milw0rm.com/cracker/                          Editoitu virhe linkissä.

ja sieltä list. Varsinkin varhaisempia crakattuja saliksia voi vilkaista.

Vastaavia sivustoja lienee satoja, tämä vain on yksi julkinen.

MD5 on siis nykyään jo heikko algoritmi salasanan suojaukseen varsinkin
jos perussääntöjä ei noudateta, erikoismerkit, kirjainkoko, pituus (nyt 16 mki min)
kriittisissä järjestelmissä, miksei kotikäytössäkin voisi totutella.
Pelkistä numeroista koostuva pitkäkin salasana murtuu sekunneissa.

Ubuntu ei taida vieläkään hyväksyä skandeja ja lieneeköhän vielä Linuxin
8 merkin rajoituskin olemassa, no täytyy koettaa haeskella tietoa.

Suurin osa linuxeista heittää kokeilijat muutaman testin jälkeen "ulos", mutta
jos MD5 joutuu vääriin käsiin, isoonkin järjestelmään päästään kerralla.

Tämä siksi aloittelijoiden palstalle, koska me olemme suurimmassa "vaarassa",
varsinkin tulevaisuudessa.
« Viimeksi muokattu: 27.12.06 - klo:17.02 kirjoittanut Qupongi »

DtW

  • Vieras
Re: Varoittava sivusto salasanoista ja muutakin.
« Vastaus #1 : 27.12.06 - klo:17.26 »
MD5 on siis nykyään jo heikko algoritmi salasanan suojaukseen varsinkin
jos perussääntöjä ei noudateta, erikoismerkit, kirjainkoko, pituus (nyt 16 mki min)
kriittisissä järjestelmissä, miksei kotikäytössäkin voisi totutella.
Pelkistä numeroista koostuva pitkäkin salasana murtuu sekunneissa.
– –
Suurin osa linuxeista heittää kokeilijat muutaman testin jälkeen "ulos", mutta
jos MD5 joutuu vääriin käsiin, isoonkin järjestelmään päästään kerralla.

Hmm, mainitsemasi linkin takana olevalla sivulla ilmeisesti on kyse ns. brute force- tai sanakirjahyökkäysmenetelmästä. Varsinkin sanakirjahyökkäys tehoaa huonoihin salasanoihin riippumatta siitä, millaista hajautusfunktiota salasanojen tallentamiseen on käytetty. MD5:n kaltaisten yksisuuntaisten hajautusfunktioiden idea on, että se on helppo laskea yhteen suuntaan mutta käytännössä mahdoton toiseen suuntaan. Ja kyllä, jos salasanan MD5-hash ja suola pääsevät väärin käsiin, niin brute forcen tai sanakirjan avulla voi koettaa muodostaa valmiiksi suuren määrän erilaisia hasheja ja verrata niitä oikeisiin. Ero on vain se, että brute force- tai sanakirjahyökkäystä ei tarvitse kohdistaa kohdekoneeseen vaan salasanaa koetetaan generoida etukäteen. Kryptografisesti kyse on kuitenkin ihan samasta asiasta: koetetaan arvata salasana eikä varsinaisesti murreta salaus- tai hajautusalgoritmia. Suola lisättiin salasanoihin nimenomaan siksi, ettei voisi sanakirjan avulla laskea hasheja valmiiksi ja verrata niitä oikeisiin. Samasta syystä Linuxien MD5-hashit ja suolat eivät ole kaikkien luettavissa.

Vai onko joku osoittanut, että MD5-hashin voi helposti laskea toiseen suuntaan ja saada salasanan tietoon ilman brute forcea tai sanakirjamenetelmää? Jos ei ole, niin ongelma ei ole varsinaisesti MD5:ssä vaan siinä, että monet ihmiset käyttävät huonoja salasanoja. Joku tietoturvaguru taisikin hiljattain todeta, että salasana on jo aikansa elänyt salausmenetelmä eikä enää kaikkialle kovin hyvin sovi.
« Viimeksi muokattu: 27.12.06 - klo:17.53 kirjoittanut Teemu Likonen »