W dniu 2013-09-02 00:16, retired mainframer pisze:
:>: -----Original Message-----
:>: From: IBM Mainframe Discussion List [mailto:IBM-MAIN@LISTSERV.UA.EDU] On
:>: Behalf Of Costin Enache
:>: Sent: Sunday, September 01, 2013 12:04 PM
:>: To: IBM-MAIN@LISTSERV.UA.EDU
:>: Subject: Re: RACF Database protection
:>:
:>: Small
:>: clarification: The usage of password phrases instead of passwords does
:>: not
:>: increase the complexity of a brute-force attack against the encrypted
:>: hashes,
:>: in case the RACF DB gets compromised (flawed / insecure DES
:>: implementation).
:>: The time required for recovering a 16-byte password phrase is two times
:>: the time
:>: required for an eight-byte password, for a 24-byte phrase three times,
:>: etc.
:>: (the required time does not increase exponentially, as expected).
I must be missing something. A brute force attack on a one byte password
must be prepared for 256 attempts. The same attack on a two byte password
must be prepared for 65,536 attempts which is significantly more than the
512 you suggest. How is the increase not exponential?
http://en.wikipedia.org/wiki/Birthday_attack
Of course, the theory you presented is still valid.
BTW, just to clarify: RACF password is NOT "8 byte password". Only
subset of possible byte values is accepted (0-9, A-Z, @$#, lately a-z).
Its (as I counted: 10+26+3+26) 65 values per character. So the password
could be 65^8 = .318 644 812 890 625.
This is simplification, I did not consider shorter passwords (which
increases the base) and password rules (which decreases the base).
--
Radoslaw Skorupka
Lodz, Poland
--
Treść tej wiadomości może zawierać informacje prawnie chronione Banku
przeznaczone wyłącznie do użytku służbowego adresata. Odbiorcą może być jedynie
jej adresat z wyłączeniem dostępu osób trzecich. Jeżeli nie jesteś adresatem
niniejszej wiadomości lub pracownikiem upoważnionym do jej przekazania
adresatowi, informujemy, że jej rozpowszechnianie, kopiowanie, rozprowadzanie
lub inne działanie o podobnym charakterze jest prawnie zabronione i może być
karalne. Jeżeli otrzymałeś tę wiadomość omyłkowo, prosimy niezwłocznie
zawiadomić nadawcę wysyłając odpowiedź oraz trwale usunąć tę wiadomość
włączając w to wszelkie jej kopie wydrukowane lub zapisane na dysku.
This e-mail may contain legally privileged information of the Bank and is intended solely for business use of the addressee. This e-mail may only be received by the addressee and may not be disclosed to any third parties. If you are not the intended addressee of this e-mail or the employee authorised to forward it to the addressee, be advised that any dissemination, copying, distribution or any other similar activity is legally prohibited and may be punishable. If you received this e-mail by mistake please advise the sender immediately by using the reply facility in your e-mail software and delete permanently this e-mail including any copies of it either printed or saved to hard drive.
BRE Bank SA, 00-950 Warszawa, ul. Senatorska 18, tel. +48 (22) 829 00 00, fax
+48 (22) 829 00 33, www.brebank.pl, e-mail: i...@brebank.pl
Sąd Rejonowy dla m. st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego, nr rejestru przedsiębiorców KRS 0000025237, NIP: 526-021-50-88.
Według stanu na dzień 01.01.2013 r. kapitał zakładowy BRE Banku SA (w całości wpłacony) wynosi 168.555.904 złotych.
----------------------------------------------------------------------
For IBM-MAIN subscribe / signoff / archive access instructions,
send email to lists...@listserv.ua.edu with the message: INFO IBM-MAIN
