彩虹桌还有用吗？

Question

由于未加密的密码越来越少，而且流密码的状态非常大，现在是否有任何广泛部署的系统仍然容易受到这种时间记忆数据交换攻击？

如果我要向彩虹表展示一个小的通用改进，那么有什么好的问题可以演示呢？

Answer 1

如果你只想提供一个通用的改进，我只想针对密码哈希。如果您认为直接通过密码散列运行密码是历史的话，那么我可以向您展示许多StackOverflow问题，它仍然在执行中。

对于一般的攻击，您不需要一个新的问题；只需专注于您的改进，并让您的解决方案感兴趣，因为它本身的优点。

Answer 2

彩虹桌几年来已经不太相关了。问题是：(1)它们真的很大，因此很难移动到目标计算机；(2)任何对密码破解很感兴趣的人都有一个GPU场，它可以在几秒钟内重新创建彩虹表。

上一次我看这个的时候，一个中等大小的GPU场可以在1-2秒内尝试所有长度为6的密码。这意味着将这些密码编码到彩虹表实际上没有多大意义。此外，正如您所指出的，大多数密码无论如何都是咸的，这意味着我们需要为每个盐值设置彩虹表，而对于较大的盐类，这是完全不切实际的。

我无法想象太多的场景，彩虹桌可能是最好的选择。也许是一位能负担得起所需的兆字节(驱动器很便宜)但无法构建破解集群的临时破解者，他有时间下载这些表(或通过DVD将它们发送出去)。

也就是说，对算法的合理改进可能仍然是可发布的。只要你的进步不是完全微不足道的。

Answer 3

它们可能非常有用。这取决于你想要完成什么。例如，如果您已经受雇于一家公司进行渗透测试，并且您知道他们的WiFi SSID，您可以在到达现场之前提前生成一些彩虹表，这将大大提高您破解WPA2-PSK密码的速度。如果你不知道他们的SSID，一个小小的社会工程通常可以得到它。