Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304
Hur knäcker man en saltad hash?
Skrivet av magiskaoskar:
Tjena!
Jag var för ett tag sen inne på en sida där man kan kolla om sina lösenord har blivit läckta. Jag hittade två av mina lösenord, det ena var i "plain text" men den andra var fortfarande en hash. Det jag inte förstår är hur hackare knäcker en saltad hash eftersom det finns så otroligt många kombinationer.
Säg att jag skulle försöka att knäcka min hash, vad är bästa sättet att gå till väga? Jag har inte saltet ,ordningen på saltet och lösenordet (t.ex."sha256(sha256(pass) + sha256(salt))" ). Det enda jag har är hashen. Hur gör jag?
ps. om det är någon som vet hur t.ex. "leakedsource" eller "haveibeenpwned" får tag på alla lister över läckta lösenord berätta gärna!
Iaf Troy Hunt (haveibeenpwned) är ju rätt tydlig med varifrån datan kommer, nämligen publikt postade listor. https://haveibeenpwned.com/FAQs
Man kan väl gissa att någon som försöker knäcka lösenord börjar med ordlistor, ordlistor med vanliga förändringar applicerade och sedan går över på någon mer bruteforce-betonad övning?
SHA-256 m.fl. vanliga hashalgoritmer anses ju inte lämpliga att använda rakt av för detta ändamål eftersom de är alldeles för effektiva/snabbräknade hashalgoritmer (bra i många sammanhang men inte detta). Därför finns t.ex. PBKDF2 (om man håller sig kvar vid ett system byggt kring en vanlig hash i den här stilen), där hashningen görs tusentals gånger just för att få en mycket mer kännbar kostnad att testa ett lösenord. Även helt andra lösningar som bcrypt, scrypt, m.fl. som på olika vis är designade att vara dyra att testa lösenord i.
Vad gäller saltet så är det ju värt att notera att det inte egentligen skyddar en individuell lösenordshash (attackararen har ju med stor sannolikhet även saltet, så saltet ökar inte antalet kombinationer att testa), däremot gör det att det blir lika dyrt att försöka knäcka varje lösenord om man ska försöka knäcka många.
Visa signatur
Citera flera
Citera
(4)
Hårdvara
Mjukvara
Datorkomponenter
Ljud, bild och kommunikation
- Då var det dax för hall effect keyboard, Corsair K70 MAX eller Wooting 80HE?11
- Vad vill ni se i nästa Battlefield?100
- Problem med google konto3
- Vad lyssnar du på just nu?13824
- Rabbel.se - Ett dagligt ordspel692
- AI Musik med Udio - Mindblowing2
- Asus lanserar 8K-skärm med Mini LED41
- Ikea släpper nytt skärmstativ för 399 kronor33
- Wordle på svenska - ordlig.se7833
- Analys av HDR samt WCG (Nördvarning)107
- Säljes Beyerdynamic 770 dt pro 80ohm
- Säljes Gamingdator med Ryzen 7700X och Gigabyte Radeon RX 7900 Gre
- Säljes ASUS TUF GeForce RTX 4070 TI Super 16GB Gaming OC
- Säljes 4090 RTX TUF ASUS OG OC 24GB
- Säljes Lian li Strimer Plus V2
- Säljes Ny/Oöppnad WD BLACK SN850X 1TB NVMe SSD Heatsink
- Säljes LianLi O11 XL, bequiet! 1200W PSU, 32GB G.Skill 6000Mhz CL30, EK Coolstream 360mm radiatorer
- Säljes Vårstäd/Garderobsrens. Datorer, Datordelar, Streaming tillbehör, Vattenkylningsprylar, tillbehör, etc.
- Säljes G.Skill Flare X 16GB (2x8GB) Ryzen / 3200MHz / DDR4 / CL14 / F4-3200C14D-16GFX
- Säljes 2st TITAN X 12GB Maxwell - 1350kr styck eller bud
- Ikea släpper nytt skärmstativ för 399 kronor33
- Snabbtest: Bli mer Pro med mindre tangentbord15
- Stockholm får en coworking-hubb för spelutvecklare5
- Max spikar priser inför lanseringen102
- Bedragare låtsades vara Lastpass VD med AI27
- SFW! Läckra ROG Zephyrus G14 med ROG Nebula OLED Display8
- Quest 2 får prissänkning för andra gången i år25
- Elgato lanserar tillbehörsserie för ”vanligt folk”12
- Enhance! Edge kan få klassisk sci-fi-funktion16
- Efter konkursryktena – Louqe är tillbaka20
