Безопасность, радужные таблицы и другие замечательные вещи.

Таким образом, я просто заново свой интернет сам. Все HDs зашифрованные с помощью TrueCrypt, двухслойного Tor с помощью фонового пользователя, каждый входящий & исходящий порт в системе заблокировано, но для Tor с моим собственным персональным брандмауэром, так далее, и так далее ...

Теперь к самой интересной части. Я написал генератор радуги таблицы в OpenCL. Он может генерировать таблицы в SHA2, MD5 и AES128-192-256, для паролей до 20 символов в длину с солью для каждого до 128 символов. Позволяя ему работать в течение 24 часов она сгенерированных 6 ТБ (и подсчета) в формате JSON-форматированных паролей и хешей.

Будет ли кто-нибудь будет готов заплатить БТД за это? (Это часть «других замечательных вещей»!) Я знаю, что вы все о с открытым исходным кодом, но это мощный инструмент.

Я не эксперт в области безопасности, но не соль используется, чтобы сделать невозможным создание радужных таблиц? Ну, не совсем невозможно, но я думаю, что радужные таблицы с солью занимают так много места, что становится невозможным создать / сохранить их.

Эти 6 соответствуют тому, что именно? Сколько паролей у вас есть? Держу пари, что сотни лет пройдут, и вы не будете даже близко к 20 знаков + 128 соли.

Проблема, как я понимаю, при использовании таких больших таблиц, даже если у вас есть таблица, и это явно быстрее, чем бег грубой силы он по-прежнему занимает очень много времени, чтобы запустить пароль против такой таблицы, что это просто не стоит. Это будет зависеть от необходимости пароля Я думаю и ваша цель.

Я рад, что я использовать пароль, который превышает 16 символов, хотя, как это ясно, в долгосрочной перспективе атак GPU хэширования будет делать короткие пароли очень уязвимы.

Цитата: JBDive от 31 июля 2011 года, 5:17:31 AM

+1. Даже буквенно-цифровые пароли длиной более 9 символов безопасны.

6 ТБ все MD5 хэшей, до 8 символов в длину до сих пор, с 1-128 буквенно-цифровых соли каждый. Хэш и соль любого пароль 7 символов с любой комбинацией ASCII символов, с MD5, и я расскажу вам пароль.

Hum ... Я не думаю, что вы будете пройти 9 или 10 символа ... По крайней мере, в 2011 году, но удачи с этим. Может быть, кто-то заинтересован.

Цитата: NMAT 31 июля 2011, 06:59:00 AM

АНБ, о фигу они уже имеют свои собственные таблицы.

Мне очень интересно, так как это моя работа, чтобы быть заинтересована, но требование иметь 50TB устройство только для размещения таблиц, необходимых для решения пароля 16 символов, не говоря уже о потребности в CPU / Bandwidth по-прежнему обрабатывать такое количество данных с помощью пароля что-то только люди с неограниченным бюджетом имеют возможность приобрести в, как и в тех людей, в DC или просто за ее пределами в ВА.

Это делает или должен сделать вам интересно, как долго он будет считать АНБ на самом деле взломать эти пароли 16+ персонажей, как вы знаете, что они, безусловно, имеют свои собственные таблицы, скорее всего, хранятся в той или иной форме SSD и возможность кластера атаки с использованием нескольких систем опроса эти таблицы.

Цитата: JBDive от 31 июля 2011 года, 1:59:08 PM

Но разве эти таблицы рода бесполезны? Я имею в виду, если сайт принимает решение о том, что соль: "websitename.com"+128 символов, ваш 50TB данных совершенно бесполезен. Вы должны перебирает его снова ...

Цитата: NMAT 31 июля 2011, 08:40:18 PM

Цитата: JBDive от 31 июля 2011 года, 1:59:08 PM

Вы будете удивлены, в количестве сайтов, которые не соль там паролей и использовать простой md5 вызов для шифрования паролей.

Не генерации соленых радужных таблиц немного бессмысленно?

Цитата: timmey от 01 августа 2011 года, 8:27:02 PM

Не генерации соленых радужных таблиц немного бессмысленно?

Ну, MtGox показал, что это не совсем бессмысленно

Несмотря на хорошо установленные основных правила, касающееся хранение паролей (или более конкретно хранить только соленый хэш), множество сайтов (или, может быть, просто код той же безответственно кодировщики широко используется) по-прежнему делают очень глупые вещи.

Есть некоторые сайты, как последние, как в этом году, что я наткнулся, что, видимо, сохраняет пароль в извлекаемой форме. Если я вижу ссылку "Отправить мне мой пароль" и проверяет, что они действительно отправить фактический пароль, я очень быстро прекратить их использование.

Так что да, я подозреваю, что есть еще много, что сайт будет уязвим для атаки таблицы MD5 радуги.

Цитата: Xephan от 01 августа 2011 года, 8:37:11 PM

Ну, MtGox показал, что это не совсем бессмысленно

Хэш MtGox были в основном солеными, в несоленых счетах были мертвые счетами, где никто не авторизован в течение нескольких месяцев. Каждый соленый хэш используется уникальная соль. Вы должны были бы сформировать уникальную таблицу радуги для каждого пароля (соль) в списке. И формируют таблицу радуги для каждой соли в списке, будет принимать только до тех пор, "просто" грубый заставляя их с самого начала. Вот что я имел в виду "это бессмысленно создавать соленые радужные таблицы"

Цитата: timmey от 01 августа 2011 года, 9:49:38 PM

Да, но наш сотрудник wewillfightintheshade утверждает, что он имеет такие таблицы

Если ваш пароль не больше, чем то, что у него есть или соль больше, чем 128.

Это почти швы как слишком много работы. Используется только для MD5 хэш растрескиванию так, Что толку? если не ваши строгания по взлому паролей и такие из затопленных таблиц.

31 июля 2011, 1:20:43 AM	# 1
wewillfightintheshade Сообщения: 4 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Таким образом, я просто заново свой интернет сам. Все HDs зашифрованные с помощью TrueCrypt, двухслойного Tor с помощью фонового пользователя, каждый входящий & исходящий порт в системе заблокировано, но для Tor с моим собственным персональным брандмауэром, так далее, и так далее ... Теперь к самой интересной части. Я написал генератор радуги таблицы в OpenCL. Он может генерировать таблицы в SHA2, MD5 и AES128-192-256, для паролей до 20 символов в длину с солью для каждого до 128 символов. Позволяя ему работать в течение 24 часов она сгенерированных 6 ТБ (и подсчета) в формате JSON-форматированных паролей и хешей. Будет ли кто-нибудь будет готов заплатить БТД за это? (Это часть «других замечательных вещей»!) Я знаю, что вы все о с открытым исходным кодом, но это мощный инструмент.

31 июля 2011, 3:39:20 AM	# 2
NMAT Сообщения: 602 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Получил 1806 Биткоинов Реальная история. Я не эксперт в области безопасности, но не соль используется, чтобы сделать невозможным создание радужных таблиц? Ну, не совсем невозможно, но я думаю, что радужные таблицы с солью занимают так много места, что становится невозможным создать / сохранить их. Эти 6 соответствуют тому, что именно? Сколько паролей у вас есть? Держу пари, что сотни лет пройдут, и вы не будете даже близко к 20 знаков + 128 соли.

31 июля 2011, 5:17:31 AM	# 3
JBDive Сообщения: 238 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Проблема, как я понимаю, при использовании таких больших таблиц, даже если у вас есть таблица, и это явно быстрее, чем бег грубой силы он по-прежнему занимает очень много времени, чтобы запустить пароль против такой таблицы, что это просто не стоит. Это будет зависеть от необходимости пароля Я думаю и ваша цель. Я рад, что я использовать пароль, который превышает 16 символов, хотя, как это ясно, в долгосрочной перспективе атак GPU хэширования будет делать короткие пароли очень уязвимы.

31 июля 2011, 6:11:07 AM	# 4
SomeoneWeird Сообщения: 700 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Цитата: JBDive от 31 июля 2011 года, 5:17:31 AM Проблема, как я понимаю, при использовании таких больших таблиц, даже если у вас есть таблица, и это явно быстрее, чем бег грубой силы он по-прежнему занимает очень много времени, чтобы запустить пароль против такой таблицы, что это просто не стоит. Это будет зависеть от необходимости пароля Я думаю и ваша цель. Я рад, что я использовать пароль, который превышает 16 символов, хотя, как это ясно, в долгосрочной перспективе атак GPU хэширования будет делать короткие пароли очень уязвимы. +1. Даже буквенно-цифровые пароли длиной более 9 символов безопасны.

31 июля 2011, 6:32:04 AM	# 5
wewillfightintheshade Сообщения: 4 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. 6 ТБ все MD5 хэшей, до 8 символов в длину до сих пор, с 1-128 буквенно-цифровых соли каждый. Хэш и соль любого пароль 7 символов с любой комбинацией ASCII символов, с MD5, и я расскажу вам пароль.

31 июля 2011, 6:59:00 AM	# 6
NMAT Сообщения: 602 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Hum ... Я не думаю, что вы будете пройти 9 или 10 символа ... По крайней мере, в 2011 году, но удачи с этим. Может быть, кто-то заинтересован.

31 июля 2011, 1:59:08 PM	# 7
JBDive Сообщения: 238 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Цитата: NMAT 31 июля 2011, 06:59:00 AM Hum ... Я не думаю, что вы будете пройти 9 или 10 символа ... По крайней мере, в 2011 году, но удачи с этим. Может быть, кто-то заинтересован. АНБ, о фигу они уже имеют свои собственные таблицы. Мне очень интересно, так как это моя работа, чтобы быть заинтересована, но требование иметь 50TB устройство только для размещения таблиц, необходимых для решения пароля 16 символов, не говоря уже о потребности в CPU / Bandwidth по-прежнему обрабатывать такое количество данных с помощью пароля что-то только люди с неограниченным бюджетом имеют возможность приобрести в, как и в тех людей, в DC или просто за ее пределами в ВА. Это делает или должен сделать вам интересно, как долго он будет считать АНБ на самом деле взломать эти пароли 16+ персонажей, как вы знаете, что они, безусловно, имеют свои собственные таблицы, скорее всего, хранятся в той или иной форме SSD и возможность кластера атаки с использованием нескольких систем опроса эти таблицы.

31 июля 2011, 8:40:18 PM	# 8
NMAT Сообщения: 602 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Цитата: JBDive от 31 июля 2011 года, 1:59:08 PM АНБ, о фигу они уже имеют свои собственные таблицы. Мне очень интересно, так как это моя работа, чтобы быть заинтересована, но требование иметь 50TB устройство только для размещения таблиц, необходимых для решения пароля 16 символов, не говоря уже о потребности в CPU / Bandwidth по-прежнему обрабатывать такое количество данных с помощью пароля что-то только люди с неограниченным бюджетом имеют возможность приобрести в, как и в тех людей, в DC или просто за ее пределами в ВА. Это делает или должен сделать вам интересно, как долго он будет считать АНБ на самом деле взломать эти пароли 16+ персонажей, как вы знаете, что они, безусловно, имеют свои собственные таблицы, скорее всего, хранятся в той или иной форме SSD и возможность кластера атаки с использованием нескольких систем опроса эти таблицы. Но разве эти таблицы рода бесполезны? Я имею в виду, если сайт принимает решение о том, что соль: "websitename.com"+128 символов, ваш 50TB данных совершенно бесполезен. Вы должны перебирает его снова ...

31 июля 2011, 10:07:16 PM	# 9
SomeoneWeird Сообщения: 700 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Цитата: NMAT 31 июля 2011, 08:40:18 PM Цитата: JBDive от 31 июля 2011 года, 1:59:08 PM АНБ, о фигу они уже имеют свои собственные таблицы. Мне очень интересно, так как это моя работа, чтобы быть заинтересована, но требование иметь 50TB устройство только для размещения таблиц, необходимых для решения пароля 16 символов, не говоря уже о потребности в CPU / Bandwidth по-прежнему обрабатывать такое количество данных с помощью пароля что-то только люди с неограниченным бюджетом имеют возможность приобрести в, как и в тех людей, в DC или просто за ее пределами в ВА. Это делает или должен сделать вам интересно, как долго он будет считать АНБ на самом деле взломать эти пароли 16+ персонажей, как вы знаете, что они, безусловно, имеют свои собственные таблицы, скорее всего, хранятся в той или иной форме SSD и возможность кластера атаки с использованием нескольких систем опроса эти таблицы. Но разве эти таблицы рода бесполезны? Я имею в виду, если сайт принимает решение о том, что соль: "websitename.com"+128 символов, ваш 50TB данных совершенно бесполезен. Вы должны перебирает его снова ... +1

1 августа 2011, 1:55:25 AM	# 10
Dansko Сообщений: 40 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Вы будете удивлены, в количестве сайтов, которые не соль там паролей и использовать простой md5 вызов для шифрования паролей.

1 августа 2011, 8:27:02 PM	# 11
timmey Сообщений: 28 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Не генерации соленых радужных таблиц немного бессмысленно?

1 августа 2011, 8:37:11 PM	# 12
Xephan Сообщений: 42 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Цитата: timmey от 01 августа 2011 года, 8:27:02 PM Не генерации соленых радужных таблиц немного бессмысленно? Ну, MtGox показал, что это не совсем бессмысленно Несмотря на хорошо установленные основных правила, касающееся хранение паролей (или более конкретно хранить только соленый хэш), множество сайтов (или, может быть, просто код той же безответственно кодировщики широко используется) по-прежнему делают очень глупые вещи. Есть некоторые сайты, как последние, как в этом году, что я наткнулся, что, видимо, сохраняет пароль в извлекаемой форме. Если я вижу ссылку "Отправить мне мой пароль" и проверяет, что они действительно отправить фактический пароль, я очень быстро прекратить их использование. Так что да, я подозреваю, что есть еще много, что сайт будет уязвим для атаки таблицы MD5 радуги.

1 августа 2011, 9:49:38 PM	# 13
timmey Сообщений: 28 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Цитата: Xephan от 01 августа 2011 года, 8:37:11 PM Ну, MtGox показал, что это не совсем бессмысленно Хэш MtGox были в основном солеными, в несоленых счетах были мертвые счетами, где никто не авторизован в течение нескольких месяцев. Каждый соленый хэш используется уникальная соль. Вы должны были бы сформировать уникальную таблицу радуги для каждого пароля (соль) в списке. И формируют таблицу радуги для каждой соли в списке, будет принимать только до тех пор, "просто" грубый заставляя их с самого начала. Вот что я имел в виду "это бессмысленно создавать соленые радужные таблицы"

1 августа 2011, 11:37:46 PM	# 14
NMAT Сообщения: 602 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Цитата: timmey от 01 августа 2011 года, 9:49:38 PM Хэш MtGox были в основном солеными, в несоленых счетах были мертвые счетами, где никто не авторизован в течение нескольких месяцев. Каждый соленый хэш используется уникальная соль. Вы должны были бы сформировать уникальную таблицу радуги для каждого пароля (соль) в списке. И формируют таблицу радуги для каждой соли в списке, будет принимать только до тех пор, "просто" грубый заставляя их с самого начала. Вот что я имел в виду "это бессмысленно создавать соленые радужные таблицы" Да, но наш сотрудник wewillfightintheshade утверждает, что он имеет такие таблицы Если ваш пароль не больше, чем то, что у него есть или соль больше, чем 128.

1 августа 2011, 11:59:25 PM	# 15
DJStealth Сообщения: 7 Цитировать по имени цитировать ответ	Re: Безопасность, радужные таблицы и другие замечательные вещи. Это почти швы как слишком много работы. Используется только для MD5 хэш растрескиванию так, Что толку? если не ваши строгания по взлому паролей и такие из затопленных таблиц.

Заголовок