Olimpo Informatico

[SverX]

@UtenteAnonimo appunto perché ti tocca ricalcolare gli hash per tutto il miliardo di password per ogni salt, secondo me l'utilità di un elenco di un miliardo di password è piuttosto limitata... non ho esperienza personale e non ho dati alla mano -ovviamente- ma sospetto che la probabilità di incorrere nella stessa password che un *altro* utente ha usato su un altro sistema sia MOLTO scarsa, ovviamente al di fuori delle classiche 10 mila password usate più di frequente...

[{UtenteAnonimo}]

@SverX a questo punto non so come essere più chiaro.

Mettiamola così, se una cosa aumenta il rischio di compromissione allora è un pericolo.
Non puoi fare affidamento sul fatto che tutti i servizi implementino decentemente un sistema di hashish con salt (anche se tutti dovrebbero).
Non so se mi spiego, è semplicemente il classico approccio alla minimizzazione del rischio, che si fa anche in altri ambiti.

Un esempio più concreto e in un altro ambito potrebbe essere l'indossare un caschetto (DPI) in un area di movimentazione carichi pesanti (carroponte che movimenta tonnellate di materiale).
Anche se nella maggior parte degli incidenti gravi quel caschetto è irrilevante risulta comunque utile qualche volta. In generale minimizza il rischio ed è economico.

Non divulgare un DB di password usate (anche senza dire ne da chi ne dove), allo stesso modo minimizza il rischio che qualcuno possa usare quel DB per un attacco concreto.
Ad esempio costruendo una rainbow table per attaccare servizi non particolarmente sicuri.
Considera poi che la mia fantasia è limitata, ma un malintenzionato magari potrebbe trovare modi più creativi/dannosi di usare quei dati.

La postura è quella di minimizzare il rischio, per farlo si deve minimizzare le informazioni che l'avversario può avere, anche se sembrano irrilevanti, perché non si sa mai.

Pensa che ad esempio alcuni sistemi di VPN non solo cifrano il traffico ma ne fanno anche il padding inviando a cadenza periodica pacchetti tutti della stessa dimensione.
Sicché un attaccante non solo non possa sapere cosa transita, ma neppure quando ci sono dati in transito e quanti dati sono stati trasferiti.
Ovviamente ogni soluzione va adeguata al profilo di rischio, però spero sia chiaro quale dovrebbe essere la postura.

[SverX]

[{UtenteAnonimo}]

@SverX Windows ed AD non applicano Salt ai propri hash che io sappia (non di default quantomeno).
Qui c'è un utilità pratica non trascurabile.

https://learn.microsoft.com/en-us/windows-server/security/kerberos/passwords-technical-overview?redirectedfrom=MSDN

Cit: SverX
"comunque non ho mai detto che una lista di un miliardo di password è *completamente* inutile"

Mi pare quindi che tu abbia cambiato opinione, mi fa piacere, inizialmente sostenevi che non avesse utilità pratiche.

Cit: ServX #6
"@UtenteAnonimo: una password di per sé è **praticamente inutile** se non associata a uno specifico accesso, peggio ancora quando è in una lista di miliardi"

PS: un altro utilizzo che mi viene in mente è il cracking offline di un DB password (saltate) compromesso (o della password specifica di un device).
Avere 1 miliardo di password reali può essere utile in questo scenario per compromettere magari un pool di utenti "interessanti" in questo DB o un utente specifico.