弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

SHA-1は簡単に壊される

Validating a SHA hash with a 4byte salt in ldap

Sun Java Direcroty Server 5.2に保存されるパスワードは
パスワードに4バイトの塩を付加してSHA1ハッシュを生成しBase64でエンコードしたもの
1方向ハッシュの強度を強めるために塩を振りかけるのだとか

Writing an Authentication Plug-in for a Sun™ ONE Directory Server
Nicola Venditti, Enterprise Services
Sun BluePrints™ OnLine—March 2003

userpassword: {SSHA}qjYg/Nhf/c2yWoKc4EODS6EBSIQ0fksRdRvlJQ==
userpassword: {SHA}FTuAdV9ulibSiggtXpAQJ3e9lro=
{SSHA}はSalted Secure Hash Algorithmのことで、塩をかけたSHA-1ハッシュ値
{SHA}は塩を振りかけてない、ただのSHA-1ハッシュ値

塩がかかってない{SHA}ハッシュは復元するとクリアテキストのパスワードになってしまう

SHA-1はRainbow Tableを使えば高速にクラックできることが判っている
逆転の発想 Rainbow Crackによるパスワード復元
Rainbow表のダウンロードサイトもある
SHA1 Rainbow Tables

Celeron1.8GhzのWinXPSP3ノートPCで15分以内に6桁のパスワードをSHA-1ハッシュから復元
その前にパスワード入力くらいのSSLにしなきゃかも

投稿されたコメント:

コメント
コメントは無効になっています。