Názor k článku Postřehy z bezpečnosti: pozor na falešné novináře od JSH - Přiznám se, že nějak nerozumím. A) Tříznakové kombinace mají...

Přiznám se, že nějak nerozumím.
A) Tříznakové kombinace mají s nějakou rozumně očekavatelnou znakovou sadou spíš statisíce než miliony možných kombinací.
B) Vůbec nerozumím, proč bych měl vůbec ukládat hashe _všech_ těch kombinací?
Jestli jsem pochopil dobře, tak ten program rozseká ta hesla na kousky a ty pak ukládá samostatně jako hashe. To aby pak mohl hledat, jestli se ty kousky někdy v minulosti vyskytly. Jenže to je právě esence toho průseru.

Hledat k hashi šestimístné heslo je mnohatisíckrát náročnější než hledat k hashi třímístné heslo. Jenže pokud ho rozseknete a zahashujete jako dvě třímístná hesla, tak je to jen dvojásobné množství práce.
Celá náročnost hledání původního hesla z hashe stojí na tom, že to není možné dělat po kouscích. Jen tak roste stavový prostor exponenciálně s počtem znaků. Brutefocrovat třímístné heslo je brnkačka.

To není security by obscurity. To je ukázkový cargo cult. Protože tím sekáním se rozbije základní princip díky kterému je lámání hashů náročné. V téhle chvíli je nějaké solení o kterém jste psal už jen slaměná věž s křovákem s kokosy na uších.

Když v 80 letech microsoft navrhoval své řešeto LM hash, tak mimo jiné bilionkrát zjednodušil lámání tím, že ho seknul a zahashoval jako dvě sedmimístné půlky. Sekat to na ještě kratší kousky dnes, kdy výkon odpovídající tehdejším superpočítačům nosí po kapsách puberťačky je s prominutím ostuda.