aeris22’s avataraeris22’s Twitter Archive—№ 20,860

                        1. …in reply to @Mr_cesese
                          @Mr_cesese L’attaque par dico. Exemple simplifié, les pass les plus utilisés sont 0000 et 1111. […]
                          Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
                      1. …in reply to @aeris22
                        @Mr_cesese Sans sel, j’ai « juste » à calculer H(0000) = A et H(1111) = B. J’ai plus qu’à prendre la db leakée et regarder qui a A ou B […]
                        Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
                    1. …in reply to @aeris22
                      @Mr_cesese Si j’ai un sel, CHAQUE hash de la db va avoir un sel différent. Faut donc que je calcule TOUS les H(Pi, Sj), ce qui est […]
                      Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 1 Favorite Mood 0
                  1. …in reply to @aeris22
                    @Mr_cesese BEAUCOUP plus long. Sans sel, j’avais N hash à calculer (N étant la taille du dico de pass) […]
                    Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
                1. …in reply to @aeris22
                  @Mr_cesese Avec un sel, j’ai N×U hash, avec N la taille du dico de pass et U le nb d’utilisateur dans la db…
                  Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 1 Favorite Mood 0
              1. …in reply to @aeris22
                @Mr_cesese Et en prime, je ne casserais les pass qu’un par un (changement de sel à chaque fois), au lieu d’en casser X en même temps…
                Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 1 Favorite Mood 0
            1. …in reply to @aeris22
              @Mr_cesese En gros, le sel empèche de précalculer un dictionnaire efficace qui associe un pass à un hash.
              Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
          1. …in reply to @aeris22
            @Mr_cesese Si je voulais précalculer ça AVANT d’avoir accès à la db leaké, ça me demanderait même N×2^n calculs (n étant la taille du sel)
            Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 1 Favorite Mood 0
        1. …in reply to @aeris22
          @Mr_cesese Alors que ça ne me demande que N calculs pour l’ENSEMBLE des db non salés du monde (rainbow-table qu’on appelle ça)
          Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 1 Favorite Mood 0
      1. …in reply to @aeris22
        @Mr_cesese Le choix de l’algo de hash est aussi très important pour bloquer encore plus une attaque bruteforce.
        Permalink On twitter.com Twitter logo aeris22’s avatar Mood +2 🙂
    1. …in reply to @aeris22
      @Mr_cesese Typiquement tous les SHA sont très facilement massivement accélérables par du matériel (GPU/FPGA/ASIC) et donc rendent […]
      Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
  1. …in reply to @aeris22
    @Mr_cesese une attaque par dico « facile ». BCrypt est conçu spécialement pour être lent *OU* consommateur en mémoire. Et donc difficile […]
    On twitter.com Twitter logo aeris22’s avatar Mood 0
    1. …in reply to @aeris22
      @Mr_cesese à accélérer par du matériel, donc ça ralentit encore plus le calcul du dictionnaire.
      Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0