In questa intervista pubblicata su Krebs sulla sicurezza , questa domanda è stato chiesto e ha risposto:
BK: I’ve heard people say, you know this probably would not have happened if LinkedIn and others had salted the passwords — or added some randomness to each of the passwords, thus forcing attackers to expend more resources to crack the password hashes. Do you agree with that?
Ptacek: That’s actually another misconception, the idea that the problem is that the passwords were unsalted. UNIX passwords, and they’ve been salted forever, since the 70s, and they have been cracked forever. The idea of a salt in your password is a 70s solution. Back in the 90s, when people broke into UNIX servers, they would steal the shadow password file and would crack that. Invariably when you lost the server, you lost the passwords on that server.
Ptacek in realtà non spiega perché questo è il caso - dice solo che salt non ha impedito questo tipo di attacco in passato.
La mia comprensione è che sale può impedire il pre-calcolo degli hash delle password a causa dello spazio necessario per memorizzare gli hash precalcolati. Ma se hai compromesso il sistema, avrai sia il sale che l'hash. Quindi il tempo di attacco del dizionario all'hash non cambia in modo significativo (solo una concatenazione extra del sale alla parola del dizionario).
La mia comprensione è corretta?