Pensieri sulla creazione di condizioni non scalabili per la forza bruta anche le piccole password?

4

Mi sono imbattuto in qualcosa chiamato " scrypt " che afferma di aggiungere requisiti di complessità tempo / spazio fissi in chiave basata su password derivazione.

Citando dalla loro pagina:

A simple password-based encryption utility is available as a demonstration of the scrypt key derivation function. On modern hardware and with default parameters, the cost of cracking the password on a file encrypted by scrypt enc is approximately 100 billion times more than the cost of cracking the same password on a file encrypted by openssl enc; this means that a five-character password using scrypt is stronger than a ten-character password using openssl [emphasis mine].

Non penso che nessuno contesti che avere requisiti di complessità di tempo / spazio fissati può ostacolare la rottura delle password. Tuttavia, non ho visto nessun lavoro con peer-review fatto in circoli crittografici o infosec, quindi non sono convinto della sua implementazione. (Voglio dire, non puoi prendere i metodi attuali e sovrapporre qualcosa come questo, quindi devono implementare il loro algoritmo.)

Qualcuno può far luce su scrypt o su qualsiasi sistema di derivazione di chiavi basato su password, forse più noto, basato sulla password / tempo in uso?

    
posta logicalscope 07.01.2012 - 01:46
fonte

1 risposta

3

Non contrassegnerò questo duplicato (infatti, ti darò un calcio a +1), ma in primo luogo risponderò indicando Qualche esperto di sicurezza consiglia bcrypt per l'archiviazione delle password?

La risposta accettata viene dal nostro crittografo residente. Il concetto stesso, citato in un'altra risposta, è stretching chiave . Per questo, ci sono RFC, algoritmi suggeriti dal NIST e articoli pubblicati come riferimenti sulla pagina di Wikipedia nel lontano 1978.

Leggere su quei materiali dovrebbe darti una buona comprensione. Vedi anche il nostro sito gemello crypto.stackexchange.com dove vengono discussi gli interni degli algoritmi.

    
risposta data 07.01.2012 - 04:35
fonte

Leggi altre domande sui tag