Vlákno názorů k článku Ukradená hesla LinkedIn: Proč tolik povyku? od ivoszz - proč se člověk, který z výše uvedeného textu...

proč se člověk, který z výše uvedeného textu zjevně o problematice zabezpečení hesel nic neví, pustí do napsání takovéhoto článku. Ještě bych tomu rozuměl někde na iDnes, ale na Lupě? To si koleduje leda tak o posměch.

Hlavní důvod použití "náhodné" (to je dost důležité) soli není proto, aby dvě stejná hesla měla rozdílný hash (to je jen vedlejší efekt), ale právě proto, aby se zabránilo vámi zmiňovaným duhovým útokům. To totiž není nic magického, ale jen prosté spočítání hashe dopředu pro známé a často používané hesla. Takže pak stačí jen porovnávat otisky.

Osobně považuji za dost skandální, že taková společnost nepoužívá osolená hesla. A když už začali používat SHA1 (čemuž rozumím, když začali před x lety), tak nerozumím tomu, proč nezavedli aspoň několikanásobný průchod. Ale jasně, ono to stojí procesorový čas a peníze. Tak doufám, že se tenhle průšvih aspoň projeví na jejich příjmech a zisku, aby manažeři věděli, že to šetření taky není úplně zadarmo.

> nerozumím tomu, proč nezavedli aspoň několikanásobný průchod.

Jj, s dnešním HW (výkonné GPU s vhodnými instrukcemi na počítaní hashů) se rainbow tables používají méně a méně. Sůl je pořád důležitá, ale sama o sobě nestačí.

Vícero průchodů (á la PBKDF2) musí být, protože hashovací funkce byly navrženy, aby běžely rychle i na hodně slabém (embedded) železe. Multiplikativní faktor vyplývající z počtu hash iterací je právě od toho, aby to útočníkovi bruteforcujicímu hesla zpomalil.

To bych se ho trochu zastal. To, že osolená stejná hesla mají různý hash, je podstatou obrany proti duhového útoku.