Jak zabezpieczyć się przed skutkami wycieku bazy

[M4v3R]

Pisząc o silnych hasłach i sprawdzaniu czy hasło nie jest słownikowe miałem na myśli gotowe słowniki (zbiory milionów słów które mogą być użyte do hasła), z których korzystają ludzie łamiący hasła. Takie "słowniki" do łamiania haseł można znaleźć bez problemu w Internecie. Jest to świetne narzędzie dla atakujących, ale można by też takiego słownika użyć do sprawdzenia, czy hasło jest silne. Jeśli znajduje się ono w jakimś ogólnodostępnym słowniku, to sprawa jest prosta - hasło jest słabe .

Wracając do tematu soli - ta wartość wcale nie musi być prawdziwie losowa. To nie jest zabezpieczenie kryptograficzne. Losowa (może lepiej byłoby użyć sformułowania unikalna) sól dla każdego użytkownika eliminuje możliwość skorzystania z tzw. tęczowych tablic, które zawierają policzone już hashe dla wielu milionów haseł dla danego algorytmu. Takie tablice, jak wspomniał qertoip znacznie przyśpieszają łamanie wielu haseł. Dodając długi, losowy dla każdego użytkownika ciąg znaków sprawiamy, że po pierwsze w ogólnodostępnych tablicach nie znajdziemy danego hasha, a po drugie liczenie ich samemu nie ma sensu bo będzie ona działała tylko dla jednego użytkownika.