Soolaga krüptograafiline räsi (nagu md5) on halb.
Sellest ei piisa enam. Traditsioonilised krüptograafilised räsifunktsioonid on mõeldud dokumentide jaoks ja seetõttu on need kiiruse jaoks optimeeritud.
Kuid kiirus on just see, mida me paroolirässide jaoks ei soovi. Kaasaegsed graafikakaardid suudavad sekundis teha 2 000 000 000 SHA1 või MD5 räsimist. Nii et 6-tähemärgilise parooli jõhker sundimine võtab vähem kui 10 minutit.
Unixi varifailide lõhkumine / lõhkumine pole haruldane.
See kehtib ka neis kasutatud vanad räsid.
Parooliräsi tegemiseks peaksin selle käivitama üle md5 või mis tahes muu sadu või tuhandeid kordi.
Kuigi see on Olen parem, kui kasutada vaid kiiret räsifunktsiooni, kuid see ei ole piisav.
Peaksite kasutama ühte räsikrüptimise algoritme (v.a md5crypt): sha256crypt, sha512crypt, bcrypt või scrypt. Need on algoritmid, mis on kavandatud suhteliselt aeglaseks ja pole graafikakaartidel hõlpsasti rakendatavad, et jõudlust suurendada.
Need algoritmid teevad midagi enamat kui lihtsalt ühe vooru väljundi kasutamine järgmise vooru sisendina. Reeglid, mida sisendina kasutada, varieeruvad sõltuvalt iteratsiooniloendurist (vt lingitud spetsifikatsioone). Kaasaegne unixi operatsioonisüsteem kasutab faili sha512crypt.
scrypt läheb teistest algoritmidest ühe sammu kaugemale, sest lisaks skaleeritavale protsessori kasutamisele kasutab scrypt palju mälu. Idee on muuta paroolikrakkerite riistvaralised rakendused palju kallimaks. Sellisel riistvaral on tavaliselt juurdepääs kuni 1KB kiirele mälule, kuid scrypti vaikeparameetrid nõuavad 16MB.