在Ubuntu 12.04上,我创建了几个用户和密码,然后立即尝试使用 John the ripper 破解这些密码。一个密码非常强大,但其他密码在我的单词列表中。
约翰还在跑步,但到目前为止,我已经有两次破裂了大约20分钟。
我读到的所有内容都谈到盐是否已知。以此哈希为例:
john:$6$YiP34XiXdXyh9fZn$JrbLMb.VGncFzEyBlz5YsKUim.UE5JLPvFhfcgAH4lz.usOrh.lic8IrQx0PRMIvIIIK4KnaTs9fiEXwNOLJ1/:1003:1003:John,,,:/
盐是:
YiP34XiXdXyh9fZn
,对吗?我的意思是,它不是一直都知道吗?所以盐真的没有做任何事情,但防止使用彩虹表,对吗?
此外,还有这篇文章:
How long to brute force a salted SHA-512 hash? (salt provided)
根据这一点,除非密码在单词列表中,否则sha512基本上不能被破解。这个帖子大约有一年的历史,有没有人有任何新的见解?我发现很难找到关于破解哈希的好资源;所有信息都是关于生成哈希值和保护密码的。
答案 0 :(得分:1)
在您的示例中,salt为YiP34XiXdXyh9fZn(base-64 encoded)。
是的,在这种情况下,salt只能保护彩虹表。
SHA512现在仍然安全。攻击者需要密码列表。
答案 1 :(得分:1)
这篇文章真的很老了,但无论如何我想纠正这个 它不仅适用于彩虹表攻击,也适用于针对整个数据库的常见攻击 捕获pw数据库的攻击者不会那么愚蠢并分别攻击每个哈希值 他会立刻攻击他们。所以他必须以每次哈希值只进行一次字典攻击为例进行计算,然后可以将其与数据库中的所有哈希值进行比较。用随机盐,他必须为每个pw单独计算每个哈希值 这几乎是哈希数量的一个因素 盐渍大数据库比普通哈希dbs更难攻击。