理解和破解盐渍sha512哈希
在Ubuntu 12.04上,我创建了几个用户和密码,然后立即用开膛手约翰破解这些密码。一个密码很强,但其他密码都在我的单词列表中。
约翰还在跑,但我已经在大约20分钟内破解了两个。
我读到的每一篇文章都在谈论盐是否为人所知。以此哈希为例:
john:$6$YiP34XiXdXyh9fZn$JrbLMb.VGncFzEyBlz5YsKUim.UE5JLPvFhfcgAH4lz.usOrh.lic8IrQx0PRMIvIIIK4KnaTs9fiEXwNOLJ1/:1003:1003:John,,,:/
盐是:
YiP34XiXdXyh9fZn
正当我是说,这不是一直都知道吗?所以盐除了防止使用彩虹桌外,真的没有任何作用,对吗?
此外,还有以下帖子:
要用多长时间的时间来暴力处理一个腌制的SHA-512哈希?(提供食盐)
根据这一点,除非密码在单词列表中,否则sha512基本上是无法破解的。那篇文章发表了一年左右,有人有什么新见解吗?我发现很难找到破解哈希的好资源;所有信息都是关于生成哈希和保护密码的。
共有2个答案
这篇帖子真的很旧,但我还是想纠正一下<它不仅适用于彩虹表攻击,也适用于针对整个数据库的常见攻击
捕获pw数据库的攻击者不会如此愚蠢,会单独攻击每个哈希<他会立刻攻击他们<因此,他必须计算,例如,在执行字典时,只对每个哈希进行一次攻击,然后可以将其与数据库中的所有哈希进行比较<对于随机盐,他必须单独计算每个pw的每个哈希
这几乎是哈希数的一个因素,速度会慢一些<盐渍大数据库比普通哈希数据库更难攻击。
-
我正在为Web应用程序制作登录系统。要将密码存储在数据库中,我正在使用sha256加密密码,如下所示: 在数据库中,我存储了用户、用户密码和用于散列和验证用户登录的salt。现在,我正在向用户发送包含您的密码的电子邮件,但是当用户收到电子邮件时,由于存储在sha256加密密码中,用户收到的是一个长字符串,而不是用户应该知道的密码。 我的问题是,我可以通过任何方法向您发送实际的用户密码和非密码加密,
-
我想问一下我在火花工作中遇到的数据偏斜问题。我知道如果你有数据偏差,最佳实践技巧之一是做盐渍技术。在我的 Spark 作业中,我必须在两个数据帧之间执行联接(其中一个数据帧的大小约为 5 GB)。 此外,我通常用一个数字和我用来连接的字段重新分区,以便在连接之前尽可能多地控制分区。因此,我使用shuffle将连接转换为具有窄依赖关系的映射连接。 场景是: 我有24个执行器,每个执行器有4个核心 我
-
为了破解WEP,我们首先需要捕获大量数据包,这意味着我们要捕获大量的IV。完成后,我们将使用aircrack-ng工具。该工具将能够使用统计攻击来确定目标网络的密钥流和WEP密钥。当我们有两个以上的数据包时,我们破解密钥的机会会更高。 让我们看一下破解WEP密钥的最基本情况。我们将在监控模式下设置WiFi卡。之后我们将运行命令以查看Wi-Fi范围内的所有网络,然后我们将针对其中一个网络。其中代表接
-
问题内容: 目前,据说MD5部分不安全。考虑到这一点,我想知道使用哪种机制进行密码保护。 这个问题,“双重哈希”密码是否比仅哈希一次密码安全? 建议多次散列可能是一个好主意,而如何对单个文件实施密码保护?建议使用盐。 我正在使用PHP。我想要一个安全,快速的密码加密系统。将密码哈希一百万次可能更安全,但也更慢。如何在速度和安全性之间取得良好的平衡?另外,我希望结果具有恒定数量的字符。 哈希机制必须
-
问题内容: 我正在使用GoLang中的授权模块。在我们将PHP5与crypt函数一起使用之前。哈希生成类似于SHA-512: 并像这样存储在数据库中。但是现在我需要使其在GoLang中也能正常工作。我在Google上进行了搜索,并尝试了不同的方法,例如: 但是所有产生的东西都不一样。谁能进一步帮助我们? 我们要验证并创建类似php版本的哈希。 提前致谢。 问题答案: https://github.
-
我记得读过一个方案,其中检查密码的过程是这样的: 给定数据库中的(哈希、盐)值, 用salt哈希密码以检查哈希, 使用旧哈希作为salt的哈希密码, 在数据库中存储(新哈希,也称为旧哈希) 我找不到原始来源无论如何,我不明白 > < li> 使用旧哈希作为salt的优势是什么(与使用随机salt相反), 这种方案的优点是什么(进一步使彩虹表攻击复杂化?),以及 如果有优势,如何使用PHPass应用