En el caso de la violación de datos de Gawker, ¿serían correctas las contraseñas seguras?

5

En la violación de datos de Gawker, ¿solo se robó la base de datos y eso dio acceso gratuito a todos los datos del usuario? ¿O es que los hackers todavía necesitan leer el MD5 de los nombres de usuario y las contraseñas para obtener acceso a los datos?

Si tienes una contraseña segura, sin diccionario, con más de 12 caracteres, ¿hay alguna preocupación?

    
pregunta hwp08 10.01.2012 - 19:30
fuente

2 respuestas

7

La fortaleza de una contraseña está relacionada con dos cosas:

  • Entropía: fuerza relativa medida en bits.
  • Velocidad de iteración: cuánto tiempo llevaría probar exhaustivamente contra una función determinada.

Gawker utilizó el método hash de criptografía DES (no es la mejor opción). Eso parece ser aproximadamente 10 veces más lento que la fuerza bruta que el MD5. Una GeForce 8800 Ultra (cosecha 2007) es ampliamente citada como una respuesta a 200 millones de hashes MD5 por segundo. Mi GeForce 560 TI es aproximadamente cuatro veces más rápida. 200 * 4/10 = 80 millones de hashes de criptografía DES por segundo.

Una contraseña de 26 + 26 + 10 + 10 (inferior, superior, números, 10 símbolos) y 12 caracteres de longitud vale 2 74 bits de entropía. DES máximo a 2 56 . Wolfram Alpha me dice que tienes un poco de margen de maniobra contra una tarjeta gráfica en 2 56 bits de entropía.

Alternativamente, existe la donde el espacio clave completo podría estar Probado en unos 10 días en 1998 por un proyecto de mascotas de la EFF. Por lo tanto, su contraseña relativamente fuerte aún podría ser derrotada por las limitaciones de un espacio de hashing más pequeño y un algoritmo atacado rápidamente.

No contendría la respiración, pero al menos no terminarás en una lista de contraseñas principales.

    
fuente
3

No, no está bien. Gawker utilizó el cifrado DES en lugar de un método de hashing fuerte. DES es lo suficientemente débil como para utilizar la fuerza bruta en el hardware moderno.

    
respondido por el pdubs 10.01.2012 - 19:47
fuente

Lea otras preguntas en las etiquetas