Topic

Bron

Leestijd 10 min

Vier en een half jaar geleden heb ik versie 2 van HIBP's Pwned Passwords uitgebracht, die een echt cool k-anonimiteitsmodel implementeerde met dank aan het brein bij Cloudflare. Later in 2018 heb ik hetzelfde gedaan met de zoekfunctie voor e-mailadressen die wordt gebruikt door Mozilla, 1Password en een handvol andere betalende abonnees. Het werkt prachtig; het is belachelijk snel, efficiënt en bovenal anoniem. Maar van tijd tot tijd, krijg ik berichten in deze trant: Beide standpunten slaan nergens op als je de papieren afpelt en begrijpt wat eronder gebeurt, maar ik begrijp hoe men op het eerste gezicht tot deze conclusies kan komen. Dus, laten we het hier regelen op een meer volledige manier dan wat ik kan doen via korte tweets of korte e-mails. SHA-1 is prima voor k-anonimiteit Laten we beginnen met het eigenlijke probleem van SHA-1. Eigenlijk meerdere problemen, waarvan het eerste is dat het gewoon veel te snel is om wachtwoorden van gebruikers op te slaan in een online systeem. Meer dan een decennium geleden schreef ik hoe ons wachtwoordhashen geen kleren heeft en in dat bericht toonde ik de enorme snelheid aan waarmee consumentenhardware deze hashes kan berekenen en bijgevolg het wachtwoord kan "kraken". Sindsdien heeft de Wet van Moore vele malen zijn ding gedaan, waardoor de propositie van SHA-1 (of SHA-256 of SHA-512) nog slechter is geworden dan voorheen. Voor een moderne referentie van hoe u wachtwoorden moet opslaan, kijk op OWASP's Password Storage Cheat Sheet.

een maand geleden - troyhunt.com

Korte versie

In onze reeks brieven van Afrikaanse journalisten stelt de wekelijkse serie The Boss van de BBC verschillende mensen van over de hele wereld voor. Deze week spreken we voor het eerst met de chief executive van het National Security Agency (NIST).

Uitgebreide versie

Vier en een half jaar geleden heb ik versie 2 van HIBP's Pwned Passwords uitgebracht, die een echt cool k-anonimiteitsmodel implementeerde met dank aan het brein bij Cloudflare. Later in 2018 heb ik hetzelfde gedaan met de zoekfunctie voor e-mailadressen die wordt gebruikt door Mozilla, 1Password en een handvol andere betalende abonnees. Eigenlijk meerdere problemen, waarvan het eerste is dat het gewoon veel te snel is om wachtwoorden van gebruikers op te slaan in een online systeem.

Vergelijkbare publicaties

article image

Gevonden topics

cloud

51%