Permalänk
Avstängd

Hur knäcker man en saltad hash?

Tjena!

Jag var för ett tag sen inne på en sida där man kan kolla om sina lösenord har blivit läckta. Jag hittade två av mina lösenord, det ena var i "plain text" men den andra var fortfarande en hash. Det jag inte förstår är hur hackare knäcker en saltad hash eftersom det finns så otroligt många kombinationer.
Säg att jag skulle försöka att knäcka min hash, vad är bästa sättet att gå till väga? Jag har inte saltet ,ordningen på saltet och lösenordet (t.ex."sha256(sha256(pass) + sha256(salt))" ). Det enda jag har är hashen. Hur gör jag?

ps. om det är någon som vet hur t.ex. "leakedsource" eller "haveibeenpwned" får tag på alla lister över läckta lösenord berätta gärna!

Permalänk
Medlem
Skrivet av magiskaoskar:

Tjena!

Jag var för ett tag sen inne på en sida där man kan kolla om sina lösenord har blivit läckta. Jag hittade två av mina lösenord, det ena var i "plain text" men den andra var fortfarande en hash. Det jag inte förstår är hur hackare knäcker en saltad hash eftersom det finns så otroligt många kombinationer.
Säg att jag skulle försöka att knäcka min hash, vad är bästa sättet att gå till väga? Jag har inte saltet ,ordningen på saltet och lösenordet (t.ex."sha256(sha256(pass) + sha256(salt))" ). Det enda jag har är hashen. Hur gör jag?

ps. om det är någon som vet hur t.ex. "leakedsource" eller "haveibeenpwned" får tag på alla lister över läckta lösenord berätta gärna!

Iaf Troy Hunt (haveibeenpwned) är ju rätt tydlig med varifrån datan kommer, nämligen publikt postade listor. https://haveibeenpwned.com/FAQs

Man kan väl gissa att någon som försöker knäcka lösenord börjar med ordlistor, ordlistor med vanliga förändringar applicerade och sedan går över på någon mer bruteforce-betonad övning?

SHA-256 m.fl. vanliga hashalgoritmer anses ju inte lämpliga att använda rakt av för detta ändamål eftersom de är alldeles för effektiva/snabbräknade hashalgoritmer (bra i många sammanhang men inte detta). Därför finns t.ex. PBKDF2 (om man håller sig kvar vid ett system byggt kring en vanlig hash i den här stilen), där hashningen görs tusentals gånger just för att få en mycket mer kännbar kostnad att testa ett lösenord. Även helt andra lösningar som bcrypt, scrypt, m.fl. som på olika vis är designade att vara dyra att testa lösenord i.

Vad gäller saltet så är det ju värt att notera att det inte egentligen skyddar en individuell lösenordshash (attackararen har ju med stor sannolikhet även saltet, så saltet ökar inte antalet kombinationer att testa), däremot gör det att det blir lika dyrt att försöka knäcka varje lösenord om man ska försöka knäcka många.