¿Hay alguna ventaja al dividir una contraseña?

Dividir la contraseña en hashes es no una ventaja. Se hizo por razones oscuras que ya no son relevantes hoy.

La razón por la que el hash de LanMan funciona de esta manera es porque el hash de LanMan se basa en DES. DES acepta una clave de 56 bits. Por lo tanto, es natural tratar una porción de 7 bytes como formando una clave DES. No hay una buena forma de usar DES para hacer hash de más de 7 bytes a la vez, y necesitamos alguna forma de crear un hash para contraseñas más largas a partir de DES, por lo que los diseñadores del hash de LanMan decidieron dividir la contraseña en dos partes.

Hoy, nunca construiríamos un hash de contraseña de esta manera. Simplemente usaríamos Bcrypt, Scrypt, PBKDF2 o algún equivalente, o construiríamos algo similar basado en primitivas existentes, como SHA256. Pero en ese momento, Bcrypt, Scrypt, SHA256, etc., no existían, lo que abre la oportunidad para que los diseñadores de LanMan cometan este tipo de error devastador.

Según los estándares modernos, el hash de LanMan es un diseño desagradable. Hay muchos many ataques en ello. Es muy debil Nadie debería usar el hash de LanMan hoy si puede evitarlo. (Como otros lo han señalado, su seguridad es desastrosa incluso para los estándares de la época. Un punto justo).

La división de la contraseña es una debilidad , no una ventaja . Permite romper cada contraseña de forma independiente. Comenzando con caracteres ASCII (códigos de 32 a 126, inclusive), luego eliminando las letras minúsculas, terminará con 127-32-26 = 69 caracteres posibles en el alfabeto de la contraseña. Esto conduce a 69⁷ posibles mitades, que están algo por debajo de 2⁴³ . En otras palabras, esto es altamente manejable a través de la fuerza bruta. Ni siquiera necesitas un diccionario.

Esto no es seguridad a través de la oscuridad. Esto es inseguridad por incompetencia.

Editar: "altamente manejable con fuerza bruta" también abre el camino para varias optimizaciones. Tenga en cuenta que LanMan no tiene sal, por lo que las tablas precomputadas pueden ser eficientes (usted paga el costo de la creación de tablas una vez , luego ataca a varias medias contraseñas; realmente vale la pena incluso para una sola contraseña, ya que una contraseña es dos medias contraseñas). En 2003, Philippe Oechslin publicó una intercambio de tiempo-memoria (es el artículo en el que acuñó el término "tabla arco iris") y computó tablas para descifrar contraseñas de LanMan. Se limitó a las contraseñas alfanuméricas (letras y dígitos, pero no a signos especiales), por lo tanto, un espacio de 2³⁷ . El tamaño acumulado de las tablas sería entonces de 1.4 GB, con una eficiencia de craqueo del 99.9% y un tiempo de ataque de menos de un minuto.

Con un espacio 2 ⁴³ , es decir, 64 veces más grande, el tamaño de la tabla y el tiempo de ataque aumentan en un factor 16 (eso es 64 ^{2 / 3} ), por lo que estamos hablando de unos 23 GB (eso no es mucho para los discos de hoy) y un ataque de 15 minutos. En realidad, el ataque sería más rápido que eso, porque el cuello de botella son las búsquedas en el disco duro, y el atacante inteligente usará un SSD que puede hacer búsquedas 50 veces más rápido que un disco duro mecánico (un SSD de 32 GB cuesta menos que 70 $ ...). El esfuerzo de creación de tablas (un gasto único) puede llevar algunas semanas en una sola PC, o algunos días en cualquier nube decente, por lo que es bastante barato.

Aparentemente , tales tablas ya existen ...

El hecho de que algo sea más complejo no necesariamente lo hace más seguro. Corrí un cracker de contraseñas en mi caja de Windows y pareció dividir las contraseñas en cadenas de 8 caracteres, y rompió cada cadena independientemente de la otra, lo que hace que el proceso sea extremadamente rápido.

Desde un punto de vista práctico, dividir una contraseña no es beneficioso, y @Thomas ya ha explicado por qué no es beneficioso matemáticamente.