Действительно ли соли бесполезны для безопасности, если взломщик знает их?
Вы не можете использовать проценты для определения размеров представления внутри RelativeLayout. Лучший способ сделать это - использовать LinearLayout и веса или пользовательский макет.
6 ответов
Нет, они не бесполезны.
Пока вы используете уникальную соль для каждой строки, соль будет предотвратить замедление атаки. Злоумышленнику потребуется провести атаку методом перебора, а не использовать радужные таблицы против хэшей паролей.
Как упоминалось в комментариях, вы должны убедиться, что соль имеет разумный размер.
Заливка была введена (или, по крайней мере, сделана популярной) в файле UNIX / etc / passwd, который был доступен для чтения всем. Обычно предполагается, что взломщик знает соль, а также зашифрованный пароль. Цель соли - замедление процесса взлома (поскольку один и тот же пароль не будет отображаться в одной и той же зашифрованной строке); это не секрет сам по себе.
Знание соли дает возможность провести атаку методом перебора, но это не делает ее бесполезной. Salt не позволяет злоумышленнику использовать уже сгенерированную радужную таблицу (которую вы можете найти в Интернете).
Лучший способ предотвратить перебор - просто использовать длинные сложные пароли.
Если злоумышленник знает соль, хешированный пароль и алгоритм хеширования, то он может провести атаку по словарю методом перебора (или атаку радуги).
Это должно дать вам представление о том, как это работает.
Допустим, вы хотите зашифровать слово «секрет». После того, как он зашифрован, скажем, теперь он выглядит как 00110010.
Если хакер знает алгоритм шифрования, он может создать таблицу слов и их соответствующие зашифрованные значения. Итак, они берут зашифрованный пароль «00110010» и находят его в таблице. Теперь они знают, что пароль, использованный для генерации «00110010», был словом «секретный». Если вы сначала добавите соль в слово, то общая справочная таблица будет бесполезна для хакера. (Общая таблица поиска представляет собой таблицу несоленых слов из словаря и их зашифрованных значений)
Если вы сначала добавите слово ("saltsecret"), теперь зашифрованное значение будет выглядеть иначе, и хакер не найдет его в таблице поиска. .
Однако, они все еще могут начать создавать свою собственную таблицу поиска с нуля, используя вашу соль, и в конечном итоге они смогут отменить пароли поиска.
Итак, чтобы ответить на вопрос, если пароли достаточно сложные, хакеру потребуется время, чтобы их вычислить. Вы можете менять свою соль каждый год, и им придется создавать стол заново.
Нет, это не бесполезно.
Чтобы успешно атаковать учетную запись, злоумышленник должен знать соль для этой учетной записи (и соль каждой учетной записи должна быть разной), используемый алгоритм хеширования, и окончательный сохраненный хэш пароля.
Учитывая всей этой информации, вы можете написать программу, которая будет пытаться хешировать различные потенциальные пароли, пока не найдет подходящий.
Если это плохая соль (слишком простая или короткая), это можно сделать намного быстрее, потому что программа может использовать радужные таблицы поиска для сопоставления окончательного сохраненного хэша пароля со строкой, которая была хеширована, и затем просто вычтите соль. Но им по-прежнему нужна вся информация.
Если это общая соль,