Обсуждение:SRP
Эта статья тематически связана с вики-проектом «Информационные технологии», цель которого — создание и улучшение статей по темам, связанным с информационными технологиями. Вы можете её отредактировать, а также присоединиться к проекту, принять участие в его обсуждении и поработать над требуемыми статьями. |
>что даже позволяет использовать простые пароли без риска ухудшения безопасности
для любой системы аутентификации простые пароли плохо.
>Вся арифметика выполняется по модулю N (мультипликативная группа ).
>g — генератор мультипликативной группы.
В поле , а не группе. Генератор мульт. группы .
> хеш-функция
криптографическая хеш-функция
> s — небольшой произвольный текст, связанный с пользователем(выполняет роль шума при попытке подбора пароля)
s — соль. не текст, а псевдослучайная последовательность символов или бит.
> В обе стороны: u = H(A, B). И далее «на стороне Х».
Что в обе стороны, что на стороне Х? Что вычисляется, что отправляется?
> после этого клиент вычисляет хеш от трех величин: r, c, password, и посылает его обратно. Данный метод уязвим к перебору по словарю, так как злоумышленник, имея r, c, hash, может подобрать пароль клиента.
В общем слчае, перебор по словарю применим к любой схеме аутентификации. Как правило, под «dictionary attack» подразумевают поиск в вычисленной таблице хешей часто используемых паролей. Salt или challenge-response используют для защиты от данной атаки. Но в любом случае, пароль должен быть стойким к угадыванию. Последний раздел про сравнение структурируйте, сейчас он написан неудовлетворительно.
Alex.kshev 08:09, 4 ноября 2009 (UTC)
1) теперь они слабо устойчивые к перебору
2) поправил
3) поправил
4) поправил
5) не согласен. на стороне Х - значит идут вычисления без передачи. в обе стороны - передача от Х к У и обратно. В одну сторону указано стрелочкой ->. все прозрачно
6) принято к сведению, теперь просто перебор.
Smbody 08:33, 12 ноября 2009 (UTC)
Перебор по перехваченной сессии[править код]
Таки я не понял - перехватив сессию, можно подбирать пароль или нет?