Piotr Gałka <p...@c...pl> writes:

> Jeśli jutro do złamania nie wydłużanego hasła w rozsądnym czasie
> wystarczy mu jeden komputer to do złamania w tym samym czasie hasła,
> które zostało wydłużone będzie potrzebował miliona komputerów.
> Tylko tyle i aż tyle.

Ale dlaczego w tym samym czasie. To może być znacznie dłużej.
Np. niejaki John łamie proste hasła na moim starym firmowym komputerze
(czasem zdarza mi się analizować takie rzeczy) w ciągu sekund. Nie widzę
jednak żadnego problemu, by zostawić go z tym na nockę, albo i na
miesiąc.

Poza tym, są komputery i komputery. "Zwykły" komputer może być 10x
droższy i 100 razy wolniejszy w tym kontekście (ten mój powyższy też
jest "zwykły", nawet bardzo zwykły) :-)
Możliwe że zrobienie tego na dużych FPGAch byłoby jeszcze bardziej
efektywne niż układy graficzne. Tego typu algorytmy oprócz czasu
procesorów mogą używać dużych ilości pamięci. Obawiam się, że właściciel
serwera także może nie chcieć inwestować w RAM tylko z tego powodu.

> A takie utrudnienia kosztuje nas sekundę przy każdym sprawdzaniu hasła.
> To nie wygórowana cena.

Jeśli robimy to raz dziennie. Bo jeśli co sekundę, to owszem - jest
wygórowana.
Poza tym, jest też problem motywacji. Jaką motywację miałby mieć
właściciel serwera? To nie są jego hasła. On oczywiście nie chce, by
ktoś niepowołany dostał dostęp do takich danych, ale jeśli już dostanie,
to czy łamanie będzie trwało 2 sekundy, czy 200 lat, to już nie jego
zmartwienie.

> Jeśli jest jakiś powód stosowania haseł to jest też naturalne aby
> złamanie było możliwie utrudnione.

Nie widzę takiej implikacji. Czym innym byłoby podsłuchanie - wtedy
zgoda, ale złamanie czegoś, do czego tak czy owak nie ma dostępu?

> Ale jest też taka ogólna zasada, aby
> utrudnić wszędzie gdzie się da, bo np. w nieprzewidziany dla nas
> sposób atakujący wejdzie w posiadanie bazy z hashami haseł.

Nie, nie ma takiej zasady. Są zasady w efekcie dokładnie przeciwne.
W szczególności taka mówiąca o kosztach zabezpieczenia oraz ataku,
i jak się one mają do wartości danych / szkód.

> Nie
> powinno mu to pozwolić znaleźć haseł choćby dlatego, że hasła mogą
> pozwolić na wyciągnięcie wniosków co do sposobu tworzenia haseł przez
> userów, co może być wykorzystane do zaatakowania innego, ważniejszego
> systemu.

Przecież wszyscy doskonale znają sposoby tworzenia haseł przez userów.
Nawet napisałem o niektórych mechanizmach. W sieci są też statystyki
haseł.

> Użytkownik nie musi wiedzieć, że jest wydłużane.

No ale tego można się łatwo dowiedzieć. Standardowe systemy itd.
Poza tym, gdyby _wszyscy_ mieli to stosować, to wiadomo że to byliby
wszyscy.

> A jeśli przekazuje mu się tę wiedzę, to powinien usłyszeć, coś w
> stylu, że obecnie hasła o długości krótszej niż 80 bitów są uznawane
> za zbyt słabe.

Przecież dłuższe hasła też mogą być zbyt słabe - wystarczy sprawdzić
czego john szuka na początku.
Długość to jest tak średnio miara entropii.
To tak na marginesie, gdyby rzeczywiście wszyscy mieli stosować podobne
algorytmy.

Są zastosowania, gdzie bez czegoś takiego po prostu się nie da. Ale
stosowanie tego na siłę wszędzie nie wydaje mi się racjonalne. Inna
sprawa, że z takimi nieracjonalnymi decyzjami zdarza mi się czasem
spotykać.
--
Krzysztof Hałasa