Le password più lunghe sono più sicure anche se la sicurezza della crittografia / database utilizzata è compromessa?

Naviga le tue risposte
1

Consentitemi di prefigurare ciò che sto avendo un sacco di problemi nel formulare la mia domanda. Spero che la mia descrizione possa aiutare a chiarire.

Mi sono sempre chiesto se le password lunghe in realtà ti offrono più sicurezza rispetto a quelle più brevi quando si tratta di siti come Google, Facebook e simili.

Ho una conoscenza molto, molto elementare della crittografia, ma è a mia conoscenza che la maggior parte dei siti web deve memorizzare la password da qualche parte e, una volta archiviati, vengono crittografati in una sorta di stringa esadecimale (o simile). Ad esempio, andando qui e inserendo una stringa di qualsiasi lunghezza darà sempre una stringa di 32 caratteri.

Ora, naturalmente, ci sono diversi tipi di standard di crittografia. Tuttavia, mi sembra che se un database utente viene compromesso sul qualsiasi sito Web con qualche mezzo, alla fine della giornata non importa quanto sia lunga la tua password, le tue credenziali sono state comunque compromesse e potenzialmente reso pubblico. La tua password di 900 caratteri non era più sicura di una persona con "12345678" come password, entrambi hanno il nome utente e la password rubati.

Ho visto domande simili a questa, nessuna delle quali sembra chiedere la stessa cosa però. Quindi la mia domanda è che le password più lunghe sono più sicure di quelle più brevi anche se la sicurezza della crittografia / database utilizzata è compromessa?

Inoltre, presumo che ci siano altri metodi per compromettere i dati degli utenti senza un metodo di tipo forza bruta, quindi per favore fammi sapere se sto facendo alcune ipotesi sciocche.

Grazie a tutti! :)

    
posta rigidmoose 25.02.2016 - 03:45
fonte

3 risposte

2

Alcuni casi generici per attacchi offline (rubano l'intera tabella nome utente e password hash, inclusi sali, peperoni, ecc.

  • Password debole, QUALSIASI archiviazione - è rotto.

  • ANY password, memoria in testo normale - è rotto

  • QUALSIASI password, memoria di crittografia, chiavi perse o troppo deboli - è rotta (HASH IT)

  • Password moderata, memoria hash debole ma corretta - è spezzata.

  • Password moderata, archiviazione hash molto strong e corretta - dipende dal tempo e dalle risorse che gli aggressori mettono in campo

    • Ciò include DOPO che gli aggressori originali hanno rinunciato e postano tutto su Internet affinché tutti nel mondo prendano una decisione.

  • Password estremamente complessa, memoria hash debole ma corretta: è sicuro!

e così via tra questi.

    
risposta data 25.02.2016 - 05:11
fonte
0

Primo: la mia comprensione è solo molto approssimativa.

Nella maggior parte dei casi solo il valore hash della password viene memorizzato utilizzando una funzione hash (md5 non è considerato sicuro per un lungo periodo di tempo, vedi SHA-1 e altri), sebbene ciò dipenda dal fornitore di servizi. Non parlando della sicurezza della password stessa; i tuoi dati personali (nomi, indirizzi, file) non sono probabilmente crittografati o almeno non con la tua password, tranne in circostanze particolari. Per essere chiari: mi aspetto che la password venga utilizzata solo per l'accesso / autenticazione su Internet, non per la crittografia dei file e così via.

A quanto ho capito, invii la tua password tramite un canale sicuro al sito web (facebook, google, ecc.) e la confronteranno alla loro versione hash (eseguendo l'hashing della password di invio allo stesso modo). Quindi i dati stessi potrebbero essere rubati da una terza parte in caso di compromissione di database / server, a seconda dei meccanismi di sicurezza del provider di servizi come la crittografia.

Ma trovare la password stessa quando l'utente malintenzionato ha ottenuto la versione con hash dal database non è così facile. Si tratta di un attacco di preimage hash e dipende interamente dalla sicurezza dell'algoritmo hash utilizzato dal fornitore di servizi.

Inoltre, presumo che l'autore dell'attacco non possa leggere i tuoi messaggi sul server o una password incassata (nella ram) durante l'accesso.

EDIT: anche quando l'utente malintenzionato trova una password che genera lo stesso valore di hash, questa può avere una password diversa da quella utilizzata, poiché le funzioni di hash non sono iniettivo.

    
risposta data 25.02.2016 - 04:14
fonte
0

Per rispondere a questa domanda presumo che il fornitore di servizi memorizzi le password in modo sicuro (hash, con sale e pepe). Ora il fatto è che le funzioni di hash non sono reversibili. Quindi, se qualcuno compromette la memoria in cui è memorizzata la password, non ha ancora la tua vera password.

Ci sono due possibilità per rompere un hash:

Brute-Force - Con l'hashing di tutte le password possibili fino a quando non si finisce con lo stesso hash. In questo caso una password lunga è più sicura.

Tabelle Arcobaleno: si tratta di grandi database di ordinamento che memorizzano le password in valori hash. Più la password è complessa e lunga, meno è probabile che si trovi in una tabella arcobaleno. (Per le risatine puoi hash una parola comune come Password o nomi come Beatrice ... con SHA-1 e copiarlo su Google. Otterrai immediatamente la password originale da una famosa tavola dell'arcobaleno)

    
risposta data 25.02.2016 - 12:17
fonte

Leggi altre domande sui tag

L'applicazione Trillian è pericolosa? (Hai ricevuto il messaggio "Qualcuno ha la tua password" da Google) Qual è lo scopo di un uomo nel certificato medio?