Generazione password basata su hash della password principale + suffisso? [duplicare]

2

È questo [1] un modo sicuro e ragionevole per generare una password univoca per l'accesso su vari siti web?

echo -n my_strong_master_password#website.com | sha1sum

Naturalmente, se il mio sistema è compromesso, questo perde tutte le password, ma lo stesso vale per un gestore di password, se c'è un keylogger.

Se questo non è sicuro, ci sono dei mezzi per migliorarlo, mantenendolo comunque portatile?

[1] Fonte: link

    
posta Simon 29.10.2015 - 20:48
fonte

2 risposte

1

Sì e no.

Dipende dalla forza della tua password principale. Dato che stai usando una funzione di hashing veloce, la tua password principale deve essere ancora più strong.

La principale minaccia di questo schema è che qualsiasi sito Web a cui si fornisce una password può provare a utilizzare la forza bruta o il dizionario per attaccare la propria password principale. Una volta che lo hanno possono impersonarti in ogni altro sito che utilizzi questo schema.

Ecco 2 buone risposte sull'argomento:

risposta data 29.10.2015 - 21:13
fonte
0

Sì, questo dovrebbe essere sufficiente. Minuscolo più numerico (l'output di sha1) offre uno spazio di ricerca di 36 caratteri. Con 40 caratteri totali in un hash SHA-1, lo spazio di ricerca è 1.84 x 10 ^ 62. Se si prende una password relativamente strong (maiuscole, minuscole, numeriche e speciali) di lunghezza 8, lo spazio di ricerca è 6.70 x 10 ^ 15. Tuttavia, molti siti richiedono l'uso di maiuscole e minuscole o di uno speciale / numerico aggiunto, quindi è probabile che dovresti nasconderli in qualche luogo per coprire siti che richiedono tale input. Inoltre, molti siti limitano anche la lunghezza della password se si tronca l'hash e si rimane con la password massima consentita che dovrebbe essere migliore dell'utente avg.

Puoi utilizzare GRC Haystack per eseguire alcuni calcoli sulla velocità con cui puoi rompere una password. A un trilione si indovina un secondo l'esempio di 8 caratteri sopra cade in circa 1,12 minuti contro 5,804 miliardi di trilioni di trilioni di secoli per il tuo hash.

MIGLIORAMENTI: 1) Mi assicurerei che la tua password principale non sia una parola o una parola del dizionario, contenga superiore / inferiore / numerico / speciale ed è completamente casuale. Quindi aggiungere il sito Web e hash l'intera cosa. Finché l'algoritmo è sconosciuto, il cracking è teoricamente impossibile. 2) Considerare il passaggio a SHA-256 e SHA-1 è imperfetto. 3) Prendi l'output di 40 caratteri e usalo per creare un caso misto + numerico + password speciale che si adatti a dire 13-15 caratteri (la maggior parte dei siti cadrà in questo intervallo di lunghezza massima). Non deve essere elaborato, cioè se appare un numerico allora l'alfa successivo è maiuscolo, se c'è un numero e poi inserire uno speciale dopo (es. Se '1' appare su '' ', se' 2 'pops up insert' (')

    
risposta data 29.10.2015 - 21:36
fonte

Leggi altre domande sui tag