C'è qualche vantaggio nel dividere una password?

Dividere la password in hash è un vantaggio non . È stato fatto per motivi oscuri che non sono più rilevanti oggi.

La ragione per cui l'hash di LanMan funziona in questo modo è perché l'hash di LanMan è costruito su DES. DES accetta una chiave a 56 bit. Pertanto, è naturale trattare un blocco di 7 byte come forma di un tasto DES. Non c'è un buon modo di usare DES all'hash più di 7 byte alla volta, e abbiamo bisogno di un modo per costruire un hash per password più lunghe di DES, quindi i progettisti dell'hash di LanMan hanno deciso di dividere la password in due metà. / p>

Oggi non creeremo mai un hash di password in questo modo. Dovremmo semplicemente usare Bcrypt, Scrypt, PBKDF2, o qualche equivalente - o costruiremo qualcosa di simile sulla base di primitive esistenti, come SHA256. Ma al momento, Bcrypt, Scrypt, SHA256, ecc. Non esistevano, aprendo l'opportunità ai progettisti LanMan di fare questo tipo di errore devastante.

Per gli standard moderni, l'hash LanMan è un design scadente. Ci sono molti molti attacchi su di esso. È molto debole Nessuno dovrebbe usare l'hash LanMan oggi se può evitarlo. (Come altri hanno sottolineato, la sua sicurezza è scadente anche per gli standard del tempo. Un punto giusto.)

La divisione della password è una debolezza , non un vantaggio . Permette di rompere ciascuna password in modo indipendente. Iniziando con caratteri ASCII (codici da 32 a 126, inclusi), quindi rimuovendo le lettere minuscole, si finisce con 127-32-26 = 69 possibili caratteri nell'alfabeto della password. Questo porta a 69 ⁷ possibili metà, che è un po 'al di sotto di 2 ⁴³ . In altre parole, questo è altamente trattabile attraverso la forza bruta. Non hai nemmeno bisogno di un dizionario.

Questa non è sicurezza attraverso l'oscurità. Questa è insicurezza per incompetenza.

Modifica: "altamente trattabile con forza bruta" apre anche la strada a varie ottimizzazioni. Notare che LanMan non è salato, quindi le tabelle precalcolate possono essere efficienti (si paga il costo della compilazione di una tabella una volta , quindi si attaccano diverse mezze password - in realtà vale la pena anche per una singola password, dato che una password è due mezze password). Nel 2003, Philippe Oechslin ha pubblicato un miglioramento del rapporto tempo-memoria (è l'articolo in cui ha coniato il termine "tavolo arcobaleno") e tabelle calcolate per incrinare le password LanMan. Si è limitato alle password alfanumeriche (lettere e cifre, ma senza segni speciali), quindi uno spazio di 2 ³⁷ . La dimensione cumulativa delle tabelle sarebbe quindi di 1,4 GB, con efficienza di cracking del 99,9% e tempo di attacco inferiore a un minuto.

Con uno spazio 2 ⁴³ , cioè 64 volte più grande, la dimensione della tabella e il tempo di attacco aumentano entrambi di un fattore 16 (cioè 64 ^{2 / 3} ), quindi stiamo parlando di circa 23 GB (non è tanto per i dischi di oggi) e di un attacco di 15 minuti. In realtà, l'attacco sarebbe più veloce di così, perché il collo di bottiglia è la ricerca sul disco rigido, e l'attaccante intelligente utilizzerà un SSD che può fare ricerche 50 volte più velocemente di un hard-disk meccanico (un SSD da 32 GB costa meno di 70 $ ...). Lo sforzo di creazione della tabella (una spesa una tantum) potrebbe richiedere alcune settimane su un singolo PC o pochi giorni su qualsiasi cloud decente, quindi è piuttosto economico.

Apparentemente , tali tabelle esistono già ...

Solo perché qualcosa è più complesso non rende necessariamente più sicuro. Ho lanciato un password cracker sulla mia finestra di Windows e sembrava rompere le password in 8 stringhe di caratteri, e ha rotto ogni stringa indipendentemente dall'altra stringa, rendendo il processo molto rapido.

Quindi, dal punto di vista pratico, la suddivisione di una password non è vantaggiosa, e @Thomas ha già spiegato perché non è utile matematicamente.