Вы утвердаете, что у вас справочник из 500 слов и пароль генерится как 4 по 500. Всё верно?
Идём дальше. Далее, полученный пароль вы обрабатываете фунцией сжимающего отображения, которая является по определению хеширующей функцией но с чрезвычайно плохими тестами на колиизию.
Допустим вы - криптограф оптимист. И считаете, что вашу систему взломать сложно. Практически невозможно.
А я - криптоаналитик пессимист. Я исхожу из того что мне известна эта методика. Каким образом - это неважно. Да и хотя-бы из особенностей графического интерфейса, состава словарей парольных фраз. и т.д. Можно, также, сделав несколько тестов с откликом посмотреть на результат и заметить, что пароль зависит только от первых 3 букв каждого слова.
Далее я планирую следущую атаку. Я получаю справочник паролей. (Каким образом - это неважно. Можно предположить, что это словарь руссого языка Ожегова. Его можно качнуть в сетию. Можно достать специальные хакерские справочники часто употребимых паролей. Туда кстати войдут и английские существительные и глаголы. Если нужны падежи - опять-же я могу достав библиотеку работы с русским языком, сгенерить нужные падежи для существительных.)
Далее, я обрабатываю этот справочник по каждой колонке приблизительно так:
1.
2.
3.
select distinct(substr(password, 1 , 3 )) from passdict1;
select distinct(substr(password, 1 , 3 )) from passdict2;
select distinct(substr(password, 1 , 3 )) from passdict3;
select distinct(substr(password, 1 , 3 )) from passdict4;
И получаю список жёстких ключей. Тоесть собственно тех лексем от которых зависят ВСЕ (!!) пароли. Количество этих лексем будет меньше поскольку мощность множества слов составляет едва-ли 33^3. Кроме того, русский язык имеет особенные свойства построения символов в слоги и количество этих комбинаций падает еще на несколько порядков. И, поверьте мне эти три справочника уже не будут в комбинации составлять 64 млрд. А их будет гораздо меньше.
Последний пункт. Эта вся котовасия чрезвычайно плохими стат-характеристиками еще раз (!!) обрабатывается хеш-функцией, которая стоит на сервере (возм. это MD5), и уменьшает количество отображений, что еще быстрее приближает мой успех.
Технические аспекты моей возможной атаки на ваш сервер мы сейчас не обсуждаем. Пока - только идея с функцией VipNet. Уж коли я ошибся в понимании вашей идеи - то извините. Черпал мысли из ваших постов.
Ну а теперь я слушаю вас.
