JWT - szansa na odgadniecie tajnego hasla

pytanie zadane 24 maja 2019 w Bezpieczeństwo, hacking przez wsnofi Bywalec (2,680 p.)

Jak wiadomo w JWT header i payload nie jest hashowany, hashowany jest podpis wraz z wszystkimi danymi, do podpisu potrzebne jest tajne haslo i ono stanowi calą tajemnice.

Zgadujac to haslo bedzie mozna podrobic kazdy podpis i utworzyc token dla kazdego uzytkownika.

Haslo jak rozumiem dla kazdego tokenu jest takie samo, wiec przy obecnej mocy obliczeniowej metoda brute force nie jest prosto zlamac tajnego hasla tokenu, probowac tak długo az bedzie prawidlowy?

komentarz 24 maja 2019 przez NowyUrzydgownig Mądrala (5,090 p.)

Jeżeli twój sekret/klucz jest "silny", wtedy złamanie go brute forcem jest nie wykonalne. Tutaj masz ciekawy artykuł o BF https://crypto.stackexchange.com/questions/1145/how-much-would-it-cost-in-u-s-dollars-to-brute-force-a-256-bit-key-in-a-year/1160#1160.

1 odpowiedź

odpowiedź 24 maja 2019 przez Ehlert Ekspert (212,670 p.)

Hasło typu secret korzystając z HS256 jest do złamania na średnim komputerze w ok godzinę.

https://www.google.com/amp/s/auth0.com/blog/amp/brute-forcing-hs256-is-possible-the-importance-of-using-strong-keys-to-sign-jwts/

Podpisywanie korzystając z RS256 i kluczy nie jest możliwe do złamania w rozsądnym czasie:

https://crypto.stackexchange.com/questions/3043/how-much-computing-resource-is-required-to-brute-force-rsa

komentarz 24 maja 2019 przez NowyUrzydgownig Mądrala (5,090 p.)

W życiu większej głupoty nie słyszałem.

komentarz 24 maja 2019 przez wsnofi Bywalec (2,680 p.)

Z ilu znaków powinien składać się bezpieczny klucz dla RS256, zakładając że mamy słaby server? Bo jak rozumiem im jest on dłuższy tym więcej zajmuje hashowanie i wymaga większej mocy.