Am Dienstag, 19. September 2006 18:37 schrieb Christian Frommeyer: > Am Donnerstag 14 September 2006 15:07 schrieb Werner Mahr: > > Würde es nicht reichen, ein Wörterbuch vorzuhalten? Wie du > > schreibst wird der Salt dem Hash nochmal vorangestellt, also kann > > man ihn auch auslesen, und das Hashen der Passwörter dürfte ja auch > > nicht wirklich lange dauern auf aktuellen Systemen. > > Um ein konkretes Passwort zu knacken ja, aber stell Dir vor, Du hast > das Passwort-File von einer großen Firma mit sehr vielen Hashes, dann > musst Du ohne salt jedes Wort aus dem Wörterbuch nur einmal durch die > Hash-Funktion schieben und dann mit allen Hashes vergleichen. Mit > salt muss jedes Wort für jeden Hash neu gehasht werden ... da hat man > dann viel schneller einen dicken Schädel... ;) Naja, bei großen Firmen ist auch die Wahrscheinlichkeit groß, das schwach PWs dabei sind. Ich hab mir mir mal jtr laufen lassen, und die schwachen waren in 2 Minuten geknackt. -- MfG usw. Werner Mahr registered Linuxuser: 303822
Attachment:
pgppXArB6r7_4.pgp
Description: PGP signature