KeePassXC & Yubikey HMAC-SHA-1 vs 40+ password caratteri

0

Guardando all'implementazione della modalità Hubi-4 HMAC-SHA1 per KeePassXC, voglio sapere:

La risposta alla sfida HMAC-SHA1 non è meno sicura di una password di 40 caratteri?

Da quello che so, la sfida è hard-coded, quindi un attaccante ha già questo. Quindi l'unico segreto è la risposta, che è di 20 byte SHA1.

Una normale password di 40 caratteri ha 40 * ~ 7 bit (che rimuove i caratteri non stampabili / utilizzabili in ASCII) come segreto utilizzabile. Quindi dovrebbe essere più sicuro in quanto ciò produce un SHA1 segreto a 160 bit rispetto a 160 bit.

Modifica: Supponendo che entrambi, la Yubikey e i normali segreti della password vengono creati utilizzando la casualità vera. Quindi non stiamo parlando dei miglioramenti rispetto alle tipiche password "Password1234".

Se mi manca qualcosa, sentiti libero di correggermi.

    
posta proc 21.09.2018 - 20:54
fonte

1 risposta

0

Se la sfida è hard-coded, allora sì, la password casuale è probabilmente * più sicura, ma senza senso. 128 bit è così oltre la nostra capacità di forzare brutalmente che non c'è davvero bisogno di andare più in alto a meno che non ti interessi molto segreti a lungo termine. 256 bit possono essere giustificati con il generoso presupposto che le operazioni quantistiche alla fine saranno economiche come le operazioni classiche, ma anche in questo caso i 160 bit di HMAC-SHA1 sono tutt'altro che banali.

(*) Un metodo per evitare gli attacchi temporali sul confronto delle stringhe consiste nel confrontare un hash di ogni stringa, se questo hash è 160 bit o più piccolo sei limitato a molti bit di sicurezza indipendentemente

    
risposta data 21.09.2018 - 21:43
fonte

Leggi altre domande sui tag