Sicurezza multi hash [duplicato]

1

md5 (sha1 (pass)) è più sicuro di md5 (pass)? Ad esempio, nel caso in cui un utente malintenzionato non possa ottenere il nostro schema di hashing, la forza bruta o l'attacco al dizionario sarebbe molto meno efficiente. Ho ragione o è inutile?

    
posta Hubert Barc 02.11.2014 - 22:24
fonte

1 risposta

6

"MD5 (SHA-1 (password))" è più sicuro di "MD5 (password)" nel senso seguente: calcolare SHA-1 e poi MD5 su una password candidata richiede circa 2,5 volte il tempo necessario per calcolare solo MD5 sulla stessa password. Pertanto, rende gli attacchi di dizionario ingenui più lunghi di 2,5 volte.

È ancora pateticamente debole, per due motivi:

  • 2,5 volte più lento di un singolo MD5 è ancora incredibilmente veloce. Con alcune GPU standard, qualsiasi attaccante con competenze limitate e un budget inferiore a 1000 dollari può ancora calcolare MD5 (SHA-1 (password)) diversi miliardi di volte al secondo. Vedi questo sito per benchmark.

  • Poiché lo schema è deterministico e dipende solo dalla password (non ha "sale"), è possibile attaccare più hash in parallelo; per esempio. con un database di 1000 password hash, l'hacker può tentare di infrangere tutti i 1000 per il costo di calcolo di rottura di uno solo. Questo può essere ulteriormente ottimizzato con tabelle precalcolate, in particolare le tabelle arcobaleno .

L'hashing della password è un campo a sé stante, e la scienza ha progredito ben oltre l'annidamento casuale di un paio di primitivi. Vedi questa risposta per un primer su come dovrebbe essere l'hashing della password fatto (almeno per ora, la ricerca è ancora attiva in quell'area).

(E la speranza che "l'attaccante non possa ottenere il nostro schema di hashing" è troppo ottimista. Gli aggressori, di regola, sanno molto di più sul tuo stesso sistema di te stesso. "La sicurezza attraverso l'Incompetenza di Attacker" è un metodo diffuso che ha mai portare a qualcosa di diverso dal dolore e dalla digrignazione dei denti.)

    
risposta data 03.11.2014 - 00:07
fonte

Leggi altre domande sui tag