Điểm:1

Làm cách nào để đảo ngược kỹ sư Salt từ mật khẩu, lần lặp và khóa?

lá cờ de

Giả sử rằng một khóa ngẫu nhiên được lấy bằng hàm sau (PBKDF2).

key = fn(mật khẩu, muối, số lần lặp)

Câu hỏi 1: Làm cách nào tôi có thể thiết kế đảo ngược muối từ mật khẩu, lần lặp và khóa?

Câu hỏi 2: Nếu cùng một loại muối được sử dụng để tạo khóa, làm cách nào tôi có thể đảo ngược kỹ thuật đảo ngược muối từ mật khẩu, các lần lặp lại và khóa?

Swashbuckler avatar
lá cờ mc
Brute force (chúc bạn may mắn vì độ dài muối tối thiểu được khuyến nghị cho PBKDF2 là 16 byte) Nhưng trong thế giới thực, muối không phải là bí mật nên bạn không cần phải cố gắng tìm nó, chìa khóa mới là bí mật.
lá cờ de
Ngay cả với Brute force, nó có thể khó đến mức nào?
lá cờ jp
Tôi không hiểu câu hỏi thứ hai khác với câu hỏi thứ nhất như thế nào. Bạn nói "cùng một loại muối", nhưng nó giống với cái gì?
lá cờ de
@GordonDavisson Một loại muối cố định được sử dụng để lấy các khóa. Tuy nhiên, một mật khẩu mới và lặp lại được tạo ra mỗi lần. Vì vậy, câu hỏi thực sự là nếu hoặc làm thế nào muối có thể được thiết kế ngược bằng cách khai thác mật khẩu, phép lặp và khóa?
Điểm:3
lá cờ fr

PBKDF2 dựa trên HMAC bằng cách sử dụng hàm băm bảo mật bằng mật mã. Giả sử hàm băm là an toàn, cách tiếp cận dễ dàng nhất sẽ là vũ phu. Giả sử bạn biết mật khẩu, thì khó khăn là lượng entropy trong muối. Vì vậy, nếu bạn chọn 16 byte ngẫu nhiên, cung cấp 128 bit entropy và bạn sẽ cần nhiều năng lượng hơn mức cần thiết để đun sôi tất cả các đại dương trên thế giới. 16 hoặc 32 byte ngẫu nhiên là lượng muối thông thường được sử dụng khi không có hướng dẫn nào khác được đưa ra, cả hai đều không thể đoán được về mặt tính toán.

Nói chung, chúng tôi không coi muối là bí mật. Nó thường được lưu trữ cùng với số lần lặp trong bản rõ khi lưu trữ mật khẩu và trong các giao thức mã hóa như TLS và SSH, muối được gửi trong bản rõ như một phần của đàm phán mã hóa.

lá cờ de
Cảm ơn vì đã trả lời. Tôi đã chỉnh sửa bài đăng với một câu hỏi tiếp theo. Bạn có thể vui lòng giải quyết điều đó không?
bk2204 avatar
lá cờ fr
Theo nghĩa đen, câu trả lời tương tự được áp dụng. Nó không dễ dàng hơn trong trường hợp này.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.