>
> Rainbow Table может использоваться только для взлома
> коротких фраз (т.е
> паролей) и не работает на алгоритмах с "солью", которые
> используются в
> том же Unix, при условии что соль имеет достаточную
> длину или с
> Challenge-Response при challenge достаточной длины. При
Это - да. Сами его авторы пишут об ограниченности этого подхода.
Но вопрос в том, насколько случайно выбирается salt.
Мне, например, было интересно узнать о поддержке в rainbow table шифрования
паролей в Oracle, так как там в качестве salt используется имя пользователя,
пароль которого шифруется (и соответственно можно заранее сгенерировать хэши с
учетом этого - я сам проверил на практике поддержку для этого алгоритма).
> этом в Windows
> вообще нет необходимости восстанавливать пароль по
> хэшу, там везде
> используется хэш. Патч для smbclient для подключения с
> хэшем вместо
> пароля могу выдать. Так что область применения Rainbow Table
Да знаю я про него ;-)
> достаточно
> ограничена - всякий левый софт, типа форумов, который хранит
> хэш пароля.
А также базы данных (как правило, прикладное шифрование паролей) и
зашифрованные пароли в конфигурационных файлах(тот же Cain&Abel, в котором есть
средства использования rainbow table указывает на MySQL и PIX).
И, кстати, а что используется в качестве salt в том же mod_auth_digest,
например ? Случайное число или нет? Кто знает?
>
> --Monday, December 25, 2006, 3:40:04 PM, you wrote to
> security-alerts@xxxxxxxxxxxxxx:
>
> KV> Ну вот - скоро совместными усилиями сгенерируют радужные
> KV> таблицы для основных алгоритмов и даже "сильные" пароли перестанут
> KV> спасать ;-(
>
> >> ------------------------------
> >>
> >> Message: 4
> >> Date: Sun, 24 Dec 2006 11:48:27 -0500
> >> From: opticfiber <opticfiber@xxxxxxxxxxxx>
> >> Subject: [Full-disclosure]
> >> To: full-disclosure@xxxxxxxxxxxxxxxxx
> >> Message-ID: <458EAF5B.6070506@xxxxxxxxxxxx>
> >> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
> >>
> >> Since November the folks at theminouche.net & hashbreaker.com
> >> have been
> >> working on a distributed rainbowtable project using BOINC.
> >> The project
> >> finished it's testing phase and went public as of yesterday.
> >>
> >> See for more info on the project
> >>
> >>
> >>
> >>
> >> ------------------------------
>
>
>
> --
> ~/ZARAZA
> Таким образом этот путь дешевле и к нему легче добраться
> тому, кто в состоянии до него добраться. (Твен)
>
>
