Ploneサイトで侵入テストを行っています。パスワード(SSHAでハッシュされている)を取得したら、パスワードの強さを評価するツールはありますか?私が正しくあなたを理解していればテストPlone passwords strength
おかげに関して、 Grig
Ploneサイトで侵入テストを行っています。パスワード(SSHAでハッシュされている)を取得したら、パスワードの強さを評価するツールはありますか?私が正しくあなたを理解していればテストPlone passwords strength
おかげに関して、 Grig
号
は、あなたはハッシュと仮定したツールではなく、平文パスワードそのものを供給することを提案しています。私は合理的にこの予想に自信を持っています。あなたが説明するツールは、基礎となるパスワードの強みよりもSSHA暗号化に関する詳細を教えてくれるでしょう。
私はこれを肯定的な方法で言います:パスワード強度を評価するツールは、平文パスワードで動作します。さもなければ、それは主にハッシュ法のエントロピーを測定する。
私の主張には特にPloneのコンテンツはありません。既存のパスワード強度チェッカーの1つに基づいてPlone(またはZope ...)製品を構築するには、もちろん簡単なはずです。私は誰のためにパッケージ化されているのか分からない。
SSHA以上は一般的に塩漬けsha1として知られていますが、パスワードを保存するのに適しています。 SHA1は技術的に壊れていますが、誰も衝突を起こさず、NISTが推奨するメッセージダイジェスト機能をリストに残しています。
John The Ripperは、塩漬けsha1ハッシュを破るために使用できます。
塩漬けされたSHA256はより良い選択です。
SHA-1の既知の弱点はここでは影響がないことに注意してください。パスワードハッシュは、衝突耐性ではなく、プリイメージ抵抗に作用します。われわれの知る限り、SHA-1はプリ画像と比べて今のところ固いです。実際には、塩析法(塩の挿入方法、反復と反復が何回含まれるか)が重要です。 SHA-256を使用することは、「SHA-1がどのように壊れているか」についてのコメントを避けるためにのみ推奨されます。 –
@Thomas Pornin衝突の弱点を持つハッシュ関数は、X回のラウンドが不要なため、ブルートフォースより速くなる可能性があります(http://www.blackhat.com/presentations/bh-usa-09/BEVAND/BHUSA09-Bevand- MD5-SLIDES.pdf) – rook
ハッシュだけの場合は、正確なパスワードを推測しようとするだけです。これは高価なものです。それから、あなたはそれを壊すかしないか。中盤はありません。 時間を使用すると、パスワード強度の見積もりとしてパスワードを推測することができましたが、うまくいけば、良いパスワードは実用的な時間よりも長くかかるでしょう。それがパスワードのハッシングのポイントです。つまり、パスワードを推測してハッシュで検証することは、数分ではなく数週間または数ヶ月の問題です。
侵入テストの一環として、パスワードがハッシュされている場合は、password crackerを実行する必要があります。正確なパスワードハッシュプロセスがまだ統合されていない場合、ソフトウェアの開発が必要な場合があります。破損したパスワードは重大なシステムの弱点として報告されます。
通常のパスワード強度推定値は、パスワードの推測可能性を判断することによって、ハッシュされていないパスワードで動作します。これは実際にはあまりうまく機能しません。なぜなら、「推測」には正確なモデリングを回避する人間の脳が関与するからです。たとえば、4つまたは5つの日付を連結して長いパスワードを作成することができます(たとえば、YYMMDD形式)。そのようなパスワードは良い強さと見なされますが、日付があなたの妻と子供の生年月日である場合、パスワードは実際には推測が容易である可能性があります。
これはPlone固有の質問ではないので、私はploneタグを削除しました。 –
sha/sshaは、暗号化アルゴリズムではないハッシュ関数です。 – rook