Új hozzászólás Aktív témák
-
bambano
titán
A saját tesztem alapján a gyenge jelszók törése nekem kettő azaz 2 másodpercbe került. Mivel én nem milliós mintán teszteltem, ezért nyilvánvaló, hogy 1 millió jelszóból a gyenge jelszavak kirostálása nem két másodperc, de szerintem 5-10 percnél nem több. Ez nálam a jelszavak kb. 60-65%-a volt.
Kérem a véleményedet azügyben (feltételezett verzió, ha a sony md5-ben tárolta volna a jelszavakat, nem plainben, mint itt), hogy ha betörtek a sonyhoz, ellopták a jelszavakat, de egy jó darabig csendben maradtak és magukban törögették a jelszavakat, majd mikor meglett mind és akkor borult ki a bili, mennyivel lett volna több idejük reagálni? Hint: semennyivel.
(#40) a_n_d_r_e_w: "akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult": ez igaz.
"a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja.": mint a méréseim mutatják, nincs lényegi különbség aközött, hogy plain text vagy valami nem túl átgondoltan titkosított jelszó került ki.A többihez:
mint látható, az md5 salt nélkül gyakorlatilag semmit nem ér. Egy darab xeon core-on futtatott brute force program is feltöri záros határidőn belül (ugye nem tudjuk, hogy mikor törtek be a sonyhoz és mennyi ideig kussoltak a cselekményről, tehát lehet, hogy hetek óta bent vannak, csak most szóltak).Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép, egy kicsivel okosabb program, ami képes 4 proci mind a 6 magján menni, esetleg ht-ben, az már 48 példány, rögtön megvan a két nagyságrendes gyorsítás. Ha ilyen gépből több kezd el dolgozni (ez még mindig csak pár millió forint nagyságrend), vagy nem egy ember rohan neki a jelszavaknak, hanem egy komplett megnemnevezett társaság minden tagja, akkor nagyon gyorsan eljuthatnak odáig, hogy 1 millió md5-ös jelszó komplett törése megvan pár perc alatt. Az sha256 és/vagy a saltolás meg csak lassítja őket, de nem állítja meg.
Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis