Источники и литература
| 1.обратно | Joshua Wright, Carlos Cid (18. Oct. 2005) An Assessment of the Oracle Password Hashing Algorithm |
| 2.обратно | Брюс Шнайер, Прикладная криптография, Издательство «Триумф» 2003 г. |
| 3.обратно | R. Morris, K. Thompson "Password security: A case history", Communications of ACM, v.22, n. 11, Nov. 1979., pp. 594-597. |
| 4.обратно | Л. Дж. Хоффман "Современные методы защиты информации"(М.: Сов. радио, 1980). |
| 5.обратно | Э. Танненбаум. «Современные операционные системы». М. СПб, Питер, 2002. |
На этом можно было бы и закончить, но у этой истории появилось .
| 1(обратно к тексту) | Хеш-функция - это преобразование, вычисляющее из данных произвольной длины некое значение (свертку) фиксированной длины, обычно от 64 до 256 бит. Простейшими примерами хеш-функций являются контрольные суммы, например, CRC32. Хеш-функции бывают криптографические и программистские. Криптографический хеш отличается от программистского двумя свойствами: необратимостью и свободностью от коллизий. |
Хеш-функции должны удовлетворять следующим требованиям:
Аргумент хеш-функции может быть строкой бит произвольной длины; Значение H(M) должно быть строкой бит фиксированной длины; Хеш-функция должна быть необратимой. Необратимость означает, что если известно хеш-значение X, то вычислительно сложно подобрать M такое, что H(M) = X, т.е. это требование означает, что сложно подобрать пароль по его хеш-значению. Свободность от коллизий означает, что вычислительно сложно подобрать такие m1 m2, что H(m1) = H(m2), т.е. когда для разных паролей получается одно и то же хеш-значение.
| 2(обратно к тексту) | Изначально именно так и было сделано в ОС Unix. Когда пользователь подключается к серверу по telnet, то пароль передается открытым текстом на сервер, на сервере пароль складывается с солью, и от этого значения считается хеш, который сравнивается с значением хеша, хранящимся в сервере. |
| 1.обратно | Joshua Wright, Carlos Cid (18. Oct. 2005) An Assessment of the Oracle Password Hashing Algorithm |
| 2.обратно | Брюс Шнайер, Прикладная криптография, Издательство «Триумф» 2003 г. |
| 3.обратно | R. Morris, K. Thompson "Password security: A case history", Communications of ACM, v.22, n. 11, Nov. 1979., pp. 594-597. |
| 4.обратно | Л. Дж. Хоффман "Современные методы защиты информации"(М.: Сов. радио, 1980). |
| 5.обратно | Марлен Терьо, Аарон Ньюмен «Oracle. Руководство по безопасности», Издательство Лори, 2004 г. |
| 6.обратно | Bob Baldwin. (1993, July 9). , Usenet Newsgroup comp.databases.oracle |
| 7.обратно | Журналы «Конфидент» № 6/97, 3/98. |
| 1(обратно к тексту) | Системы защиты обычно имеют недружественный характер, поэтому здесь следует соблюдать компромисс между строгостью системы и удобством пользователей. Если например, повысить минимальную длину пароля до 20 знаков, следует ожидать, то мониторы пользователей будут увешаны списками паролей, а техподдержка будет перегружена звонками типа "не могу войти в …". В результате, в серьезной и строгой системе информационной безопасности самым слабым звеном окажется человеческий фактор. |
Содержание раздела
