E 'possibile decifrare qualsiasi password hash SHA1

2

Sto cercando di capire quanto sia facile decifrare una password hash SHA1. Ho un database di formazione che fornisce centinaia di hash password.

Ho provato a utilizzare alcuni strumenti online per craccarli e mi sono reso conto che posso solo creare password relativamente semplici con loro.

Per quello che so, per decifrare un hask, generalmente usi i tavoli arcobaleno. In questo senso, per me, puoi solo decifrare password semplici. Ma alcune persone online sembrano dire che strumenti come John the Ripper o Hashcat possono rompere qualsiasi cosa.

Quindi mi chiedevo, è sempre possibile craccare una password SHA1 (anche una molto complessa)?

Grazie in anticipo per il tuo aiuto

    
posta KB303 14.07.2018 - 04:05
fonte

3 risposte

4

No, non è possibile crackare solo un hash SHA-1. Attualmente, ci sono due problemi principali nell'usare la funzione di hash per motivi di sicurezza (non specificatamente l'hashing della password):

  1. È un hash molto veloce , il che significa che un attacco di forza bruta verrà eseguito molto più rapidamente di quanto sarebbe se si utilizzasse correttamente una KDF lento . Il fatto che SHA-1 sia veloce non ti consente di decifrare alcuna password, ma significa che puoi tentare più ipotesi al secondo.

  2. È vulnerabile agli attacchi di collisione , come Google ha mostrato . Un attacco di collisione consente a qualcuno di creare due input con lo stesso hash. Tuttavia, non consente loro di invertire un hash o di modificare un input senza influenzare l'hash risultante. Questo sarebbe un tipo diverso di attacco chiamato attacco pre-attacco e SHA-1 non è vulnerabile a quell'attacco.

Quindi no, non sei in grado di decifrare solo una password che è stata sottoposta a hash con SHA-1 a meno che la password sia breve o debole. Ciò non significa che dovresti usarlo per l'hashing della password, poiché è così veloce e implementato in modo efficiente su una GPU.

    
risposta data 14.07.2018 - 05:21
fonte
1

SHA1 è forse lo scenario peggiore per proteggere le password, fatta eccezione per la memorizzazione in chiaro o schemi senza sale. Gli strumenti di cracking delle password non solo testano gli elenchi di password, ma sostituiscono anche singole lettere, ad esempio S con $, doppie lettere, combinazioni di esempio di lettere maiuscole e minuscole per tutte le password nell'elenco, combinano parole, ecc.

In realtà, la maggior parte delle password può essere interrotta, anche la maggior parte delle password complesse.

Soprattutto, la differenza è quanto tempo ci vuole per rompere con hardware specifico, sia che occorra diversi mesi o pochi secondi. Con buoni schemi di hashing delle password come Argon2 o Scrypt, il cracking dura più a lungo, con SHA1 o MD5 il più breve.

    
risposta data 14.07.2018 - 12:37
fonte
0

So I was wondering, is it always possible to crack a SHA1 password (even a really complex one) ?

Sì. È solo una questione di tempo e fatica. La domanda interessante è "è possibile decifrare qualsiasi password SHA1 all'interno di" a cui la risposta è attualmente: No.

La realtà è che puoi rompere qualsiasi hash. Ci vuole solo molto tempo nello scenario peggiore.

    
risposta data 14.07.2018 - 13:17
fonte

Leggi altre domande sui tag