==8 символов или больше?=
Перечитывая Криса Касперски, наткнулся на следующую фразу:
– Современные версии UNIX уже не ограничивают длину пароля восемью символами, но выбирать длинные пароли категорически не рекомендуется – это значительно снижает криптостойкость. К сожалению, внятные объяснения потребовали бы много места и глубоких знаний криптографии.
Книга вышла еще в 2001 году. Насколько актуально это утверждение для современных Linux-систем?
комментариев: 9796 документов: 488 редакций: 5664
http://en.wikipedia.org/wiki/Crypt_(Unix)
комментариев: 11558 документов: 1036 редакций: 4118
Несерьёзно как-то...
Кстати, Крис очень наглядно и убедительно показал, как майкрософтовцы неоднократно лопухнулись при разработке своих "оригинальных" крптотехнолоий для Windows.
комментариев: 11558 документов: 1036 редакций: 4118
Несерьёзно — делать некое заявление, но не подтверждать его фактами, аргументируя сложностью возможных разъяснений. Читая такое, возникает впечатление, что автор сам не особо в курсе деталей.
Широко известный в узких кругах?
Моё личное мнение, разумеется.
Выкладывайте рабочие хэши на тестирование в и-нет, бонусом приложить адрес, и доступный сервис. Это сильно увеличит криптостойкость вашей системы.
комментариев: 371 документов: 19 редакций: 20
Спешу вас разочаровать. Ваш "авторитет" в своих кникгах льет много воды, часто ошибается и еще чаще идет против истины. Не читайте его бред, это вредно для вашего умственного здоровья :)
комментариев: 9796 документов: 488 редакций: 5664
Пароль берётся только от семи битов из символа, поэтому восьмой бит из каждых семи перемещается в сторону восьмого байта
или вообще отбрасывается. Так из восьми символов формируется 56-битный ключ. Если символов больше, то образуется несколько
строк с отброшенным восьмым битом, которые объединяются операцией XOR. Если распределение каждой строки неслучайно,
то теоретически можно найти оптимальные вероятности многократных XOR-сложений и выделить наиболее вероятные
DES-ключи для перебора, которым в конце концов и шифруется пароль в этой схеме вместо обычного хэширования.
Но честно говоря, я не нашёл ссылок на эти устаревшие протоколы, которые не имеют ничего общего с современным положением дел
и необладаю столь глубокими познаниями в криптографии как у Криса Касперски, так что внятных и требующих много места
объяснений что-то в голову не приходит.
комментариев: 9796 документов: 488 редакций: 5664
Согласен.
Ну да, просто не поняли, что хотел сказать автор и отреагировали по принципу: "не читали, но труды этого автора осуждаем" :-)
Никто никого не топтал.
Ну вот кто-то даже прочитал.
И видимо ему захотелось повторить здесь свое сомнительное отношение к авторитету данного автора безотносительно к данному вопросу ;-)
Ну что ж, каждый имеет право на своё мнение.
А зачем? Если создателю топика это интересно, пусть сам и узнаёт это у автора. На вторую половину вопроса мы ответили: для современных Linux систем это давно уже неактуально.
Было ли это актуально когда-то давно раньше именно так, как описывает Касперски, вопрос спорный, но IMHO непринципиальный и неинтересный.
Я когда-то находил и явные опечатки и мутные места у Шнайера или у Bellar & Rogaway, но мне как-то не особо было интересно докапываться и выяснять, если вопрос неинтересный.
Да, иногда такое возникает. Правила хорошего тона предписывают в подобных случаях давать ссылку на подробное разъяснение – это единственное, в чём можно упрекнуть по сути самого подхода. Криса не сильно читал, но его статьи больше напоминают детские сказки для впечатлительных деток – начинающих хакеров. Написано жывым интересным языком, но есть художественный вымысел, ну если для детей... в конце концов, почему бы и нет? Красной шапочки же вродь тож не было, или я не прав? (Тимошенко и подобные не в счёт).
Ведь этот вопрос я задал не ради праздного любопытства – каждый день приходится использовать эти пароли, обычно длину паролей выбираю 12, как рекомендовал SATtva в своем блоге. А теперь возникли некоторые сомнения. Хочеся их развеять.