Joshua Wright, Carlos Cid (18. Oct. 2005) An Assessment of the Oracle Password Hashing Algorithm
2.обратно
Брюс Шнайер, Прикладная криптография, Издательство «Триумф» 2003 г.
3.обратно
R. Morris, K. Thompson "Password security: A case history", Communications of ACM, v.22, n. 11, Nov. 1979., pp. 594-597.
4.обратно
Л. Дж. Хоффман "Современные методы защиты информации"(М.: Сов. радио, 1980).
5.обратно
Э. Танненбаум. «Современные операционные системы». М. СПб, Питер, 2002.
На этом можно было бы и закончить, но у этой истории появилось .
1(обратно к тексту)
Хеш-функция - это преобразование, вычисляющее из данных произвольной длины некое значение (свертку) фиксированной длины, обычно от 64 до 256 бит. Простейшими примерами хеш-функций являются контрольные суммы, например, CRC32. Хеш-функции бывают криптографические и программистские. Криптографический хеш отличается от программистского двумя свойствами: необратимостью и свободностью от коллизий.
Хеш-функции должны удовлетворять следующим требованиям:
Аргумент хеш-функции может быть строкой бит произвольной длины;
Значение H(M) должно быть строкой бит фиксированной длины;
Хеш-функция должна быть необратимой. Необратимость означает, что если известно хеш-значение X, то вычислительно сложно подобрать M такое, что H(M) = X, т.е. это требование означает, что сложно подобрать пароль по его хеш-значению.
Свободность от коллизий означает, что вычислительно сложно подобрать такие m1 m2, что H(m1) = H(m2), т.е. когда для разных паролей получается одно и то же хеш-значение.
2(обратно к тексту)
Изначально именно так и было сделано в ОС Unix. Когда пользователь подключается к серверу по telnet, то пароль передается открытым текстом на сервер, на сервере пароль складывается с солью, и от этого значения считается хеш, который сравнивается с значением хеша, хранящимся в сервере.
1.обратно
Joshua Wright, Carlos Cid (18. Oct. 2005) An Assessment of the Oracle Password Hashing Algorithm
2.обратно
Брюс Шнайер, Прикладная криптография, Издательство «Триумф» 2003 г.
3.обратно
R. Morris, K. Thompson "Password security: A case history", Communications of ACM, v.22, n. 11, Nov. 1979., pp. 594-597.
4.обратно
Л. Дж. Хоффман "Современные методы защиты информации"(М.: Сов. радио, 1980).
5.обратно
Марлен Терьо, Аарон Ньюмен «Oracle. Руководство по безопасности», Издательство Лори, 2004 г.
6.обратно
Bob Baldwin. (1993, July 9). , Usenet Newsgroup comp.databases.oracle
7.обратно
Журналы «Конфидент» № 6/97, 3/98.
1(обратно к тексту)
Системы защиты обычно имеют недружественный характер, поэтому здесь следует соблюдать компромисс между строгостью системы и удобством пользователей. Если например, повысить минимальную длину пароля до 20 знаков, следует ожидать, то мониторы пользователей будут увешаны списками паролей, а техподдержка будет перегружена звонками типа "не могу войти в …". В результате, в серьезной и строгой системе информационной безопасности самым слабым звеном окажется человеческий фактор.