Sitat av
Masi
Man kan vel salte LM hash å for den saks skyld, men det korter jo ned på passordlengden, f.eks: passord 10 tegn + hash 4 tegn? Men sikrer er det ikke.
Men du for komme å fortelle meg om 10 år at det ikke finnes en metode for å knekke MD5, SHA og blowfish hash raskere.
Nei, det er ingenting som tyder på at det vil finnast måter å knekke SHA og blowfish på anna enn uttømmande angrep. MD5 har ein del svakheiter, og den er på veg ut.
Problemet med LM-hash er m.a. at den konverterer passord til uppercase, har avgrensa, fast lengde, og ikkje salter. Da har en rainbow tables som er jævlig effektivt, samtidig som det er dårlig hash-funksjon. Salting og vilkårlig lengde hadde forbedra ting mykje, ettersom rainbowtables hadde blitt ubrukelig.
Og - blowfish har ein interessant eigenskap: initialisering er fordømt dyrt, så det å regne ut ciphertekst for en gitt klartekst tar mykje tid.
Kort sagt - det er _MANGE_ som forsker på kryptografi, og det er ikkje Joe A. Cracker - det er folk i NSA og ved anerkjente universitet. Så at du prøver å hevde at SHA, Blowfish m.fl. kun er sikre fordi det er mindre forskning på det er ein påstand som er tvilsom, om ikkje direkte på trynet feil.
Det verkar ikkje heilt som du har forstått kva salting gjer heller - det gjer det ikkje per se sikrare, men det gjer forhåndsutrekna tabeller ubrukelige fordi det som blir hasha er passord + salt, der salt er (optimalt sett) ein tilfeldig string. Da må ein hashe alle mulige passord med det saltet for å finne rett ved bruteforce.
Og ja, eg reknar OS X som ein unix, for alle praktiske formål.