Toon posts:

[Hash] Specifieke veiligheid van onveilige hash algoritmes

Pagina: 1
Acties:

Vraag

woensdag 3 maart 2021 20:52

Acties:
  • 0 Henk 'm!
  • nota
  • Registratie: Augustus 2001
  • Laatst online: 12-08 08:52

nota

Topicstarter
Het is algemeen bekend dat bepaalde hashing algoritmes zoals MD5 en SHA1 niet veilig zijn om passwords te hashen. Stel je voor dat een bepaalde website wel deze algoritmes gebruikt zonder dat ze een (unieke) salt toepassen, maar ik mijn wachtwoord zodanig heb bepaald dat deze enkel voor de betreffende website gebruikt wordt en dat het een willekeurige reeks van 15 tekens is (61 mogelijkheden per teken), uitgaande van een entropie van 88 bits.

Aangezien er (nog) geen pre-image attacks zijn gevonden voor deze algoritmes en een dictionary lookup of rainbow tables mijns inziens geen resultaat kunnen opleveren, kan ik er dan vanuit gaan dat een persoon die de hash in handen krijgt er op dit moment niks mee kan?

If you think sex is a pain in the ass, try different position

Beste antwoord (via nota op 07-05-2021 19:30)

zaterdag 6 maart 2021 11:49

  • Luc45
  • Registratie: April 2019
  • Laatst online: 02-10 18:21

Luc45

In het algemeen zou je dat wel kunnen aannemen.

Op dit moment zit de zwakheid van deze algoritmen er vooral in omdat de snelheid waarmee we ze kunne berekenen dusdsnig hoog is dat je heel veel waardes kunt raden (z.g.n. brute force aanval)

Hierdoor wordt het ook mogelijk om met twee verschillende waardes eenzelfde hash te berekenen (z.g.n. hash collision).

Als ik het goed herinner is het algoritme zelf nog niet gekraakt, maar dat zou in de toekomst natuurlijk nog wel kunnen gebeuren.

Als je voor elke website een lang en uniek wachtwoord hebt, heeft een kwaadwillende er ook helemaal niets aan om jouw hash te kraken, hij zou er immers alleen mee in iunnen loggen bij de service waar hij de hashes heeft weten te verkrijgen. Als iemand al zo ver een systeem is ingekomen, kun je eigenlijk wel aannemen dat hij de rest van de data op het platform ook in handen had kunnen hebben.

Alle reacties

zaterdag 6 maart 2021 11:49

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • Luc45
  • Registratie: April 2019
  • Laatst online: 02-10 18:21

Luc45

In het algemeen zou je dat wel kunnen aannemen.

Op dit moment zit de zwakheid van deze algoritmen er vooral in omdat de snelheid waarmee we ze kunne berekenen dusdsnig hoog is dat je heel veel waardes kunt raden (z.g.n. brute force aanval)

Hierdoor wordt het ook mogelijk om met twee verschillende waardes eenzelfde hash te berekenen (z.g.n. hash collision).

Als ik het goed herinner is het algoritme zelf nog niet gekraakt, maar dat zou in de toekomst natuurlijk nog wel kunnen gebeuren.

Als je voor elke website een lang en uniek wachtwoord hebt, heeft een kwaadwillende er ook helemaal niets aan om jouw hash te kraken, hij zou er immers alleen mee in iunnen loggen bij de service waar hij de hashes heeft weten te verkrijgen. Als iemand al zo ver een systeem is ingekomen, kun je eigenlijk wel aannemen dat hij de rest van de data op het platform ook in handen had kunnen hebben.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq