テストPlone passwords strength

Question

Ploneサイトで侵入テストを行っています。パスワード（SSHAでハッシュされている）を取得したら、パスワードの強さを評価するツールはありますか？私が正しくあなたを理解していれば

おかげに関して、 Grig

Answer 1

号

は、あなたはハッシュと仮定したツールではなく、平文パスワードそのものを供給することを提案しています。私は合理的にこの予想に自信を持っています。あなたが説明するツールは、基礎となるパスワードの強みよりもSSHA暗号化に関する詳細を教えてくれるでしょう。

私はこれを肯定的な方法で言います：パスワード強度を評価するツールは、平文パスワードで動作します。さもなければ、それは主にハッシュ法のエントロピーを測定する。

私の主張には特にPloneのコンテンツはありません。既存のパスワード強度チェッカーの1つに基づいてPlone（またはZope ...）製品を構築するには、もちろん簡単なはずです。私は誰のためにパッケージ化されているのか分からない。

Answer 2

SSHA以上は一般的に塩漬けsha1として知られていますが、パスワードを保存するのに適しています。 SHA1は技術的に壊れていますが、誰も衝突を起こさず、NISTが推奨するメッセージダイジェスト機能をリストに残しています。

John The Ripperは、塩漬けsha1ハッシュを破るために使用できます。

塩漬けされたSHA256はより良い選択です。

Answer 3

ハッシュだけの場合は、正確なパスワードを推測しようとするだけです。これは高価なものです。それから、あなたはそれを壊すかしないか。中盤はありません。 時間を使用すると、パスワード強度の見積もりとしてパスワードを推測することができましたが、うまくいけば、良いパスワードは実用的な時間よりも長くかかるでしょう。それがパスワードのハッシングのポイントです。つまり、パスワードを推測してハッシュで検証することは、数分ではなく数週間または数ヶ月の問題です。

侵入テストの一環として、パスワードがハッシュされている場合は、password crackerを実行する必要があります。正確なパスワードハッシュプロセスがまだ統合されていない場合、ソフトウェアの開発が必要な場合があります。破損したパスワードは重大なシステムの弱点として報告されます。

通常のパスワード強度推定値は、パスワードの推測可能性を判断することによって、ハッシュされていないパスワードで動作します。これは実際にはあまりうまく機能しません。なぜなら、「推測」には正確なモデリングを回避する人間の脳が関与するからです。たとえば、4つまたは5つの日付を連結して長いパスワードを作成することができます（たとえば、YYMMDD形式）。そのようなパスワードは良い強さと見なされますが、日付があなたの妻と子供の生年月日である場合、パスワードは実際には推測が容易である可能性があります。