2

在 Ubuntu 12.04 上,我创建了几个用户和密码,然后立即尝试使用开膛手 John破解这些密码。一个密码非常强大,但其他密码在我的单词列表中。

约翰仍在跑步,但到目前为止,我已经在大约 20 分钟内破解了两个。

我读到的所有内容都在谈论盐是否已知。以这个哈希为例:

john:$6$YiP34XiXdXyh9fZn$JrbLMb.VGncFzEyBlz5YsKUim.UE5JLPvFhfcgAH4lz.usOrh.lic8IrQx0PRMIvIIIK4KnaTs9fiEXwNOLJ1/:1003:1003:John,,,:/

盐是: 

YiP34XiXdXyh9fZn

, 正确的?我的意思是,它不是一直都知道吗?所以盐除了防止使用彩虹表之外真的没有任何作用,对吧?

另外,还有这个帖子:

暴力破解加盐 SHA-512 哈希需要多长时间?(提供盐)

据此,除非密码在单词列表中,否则基本上无法破解 sha512。那篇文章大约有一年了,有人有什么新见解吗?我发现很难找到关于破解哈希的好资源;那里的所有信息都是关于生成哈希和保护密码的。

4

2 回答 2

1

  1. 在您的示例中,盐是YiP34XiXdXyh9fZnbase-64 encoded)。

  2. 是的,在这种情况下,盐只能防止彩虹表。

  3. SHA512现在还是安全的。攻击者需要一个密码列表。

于 2012-08-28T05:37:16.427 回答
1

这篇文章真的很旧,但我还是想纠正这个。
它不仅适用于彩虹表攻击,还适用于针对整个数据库的常见攻击。
捕获 pw 数据库的攻击者不会那么愚蠢并单独攻击每个哈希。
他会一下子攻击他们。
所以他必须计算,例如,在对每个哈希进行一次字典攻击时,然后可以将其与数据库中的所有哈希进行比较。
使用随机盐,他必须单独计算每个 pw 的每个哈希值。
这几乎会减慢哈希数的一个因素。
盐渍大数据库比普通哈希数据库更难攻击。

于 2014-02-27T21:50:58.483 回答