मैं एक क्रिप्टोग्राफी शोधकर्ता हूं और मैं अत्यंत निश्चितता से कह सकता हूं कि सुपरगैनपास त्रुटिपूर्ण, असुरक्षित है और उपयोगकर्ताओं को इसका उपयोग करने पर सुरक्षा की झूठी भावना देगा।
MD5 बहिष्कृत है और कुछ समय के लिए किया गया है: बुकमार्कलेट योजना ही (ऊपर संबोधित) में सुरक्षा के स्पष्ट कमी की अनदेखी करते हुए यहाँ सिर्फ कुछ क्रिप्टोग्राफिक कारणों से आप SuperGenPass का उपयोग कभी नहीं करना चाहिए। किसी भी प्रकार की सुरक्षा के लिए एमडी 5 पर भरोसा नहीं किया जा सकता है।
लेखक कहता है कि सुपरगैनपास टक्कर प्रतिरोधी है (जो पूरी तरह से झूठी है, लेकिन अप्रासंगिक है), हालांकि सुपरजेनपैस योजना की मूल सुरक्षा प्रीइमेज प्रतिरोध पर निर्भर करती है। ऐसा लगता है कि लेखक इसे समझने में विफल रहता है, इसे 'अन्य गणितीय चिंताओं' के रूप में उद्धृत करता है। यह इंद्रधनुष तालिकाओं के उपयोग के माध्यम से 128 बिट एमडी 5 में भी आसानी से हराया जा सकता है, लेखक के 64-बिट संस्करण के साथ एक साथ हैक किया गया है। वर्तमान कंप्यूटर हार्डवेयर के आधार पर, सुपरजीनपैस जेनरेट पासवर्ड को क्रैक करने में लगने वाले समय के लिए मेरा अनुमान होम पीसी पर लगभग 2 दिन होगा।
सुपरजीनपैस के लेखक ने दावा किया कि सुरक्षा को अनिश्चित संख्या में हैशिंग के कारण आश्वासन दिया जाता है। यह बेहद झूठा है क्योंकि 'indeterminism' पासवर्ड का एक कार्य है। फिर, इंद्रधनुष टेबल आसानी से इसे हराने।
लेखक पूरी तरह से नमक के उद्देश्य को गलत समझता है। नमक को यादृच्छिक रूप से जेनरेट किया जाना चाहिए, कुछ उपयोगकर्ता परिभाषित 'चुपके पासवर्ड' का उत्पाद नहीं (जो भी इसका मतलब है)। इस कार्यान्वयन में, 'चुपके पासवर्ड' केवल obfuscation है और कोई अतिरिक्त क्रिप्टोग्राफिक सुरक्षा प्रदान करता है। अधिक जानकारी के लिए, देखें [http://en.wikipedia.org/wiki/HMAC#Design_principles]
महत्वपूर्ण मजबूती का कोई रूप नहीं है, यह केवल डोमेन से जुड़ा हुआ है। दोबारा, इंद्रधनुष तालिकाओं से इसे आसानी से पराजित किया जा सकता है।
एक अतिरिक्त गैर क्रिप्टोग्राफिक मुद्दा: डोमेन के लिए सीमित करके, लेखक एक ही डोमेन पर खाते में एकाधिक पृष्ठ की गणना करने में विफल रहता (लगता है कि [hostingprovider] .com/[उपयोगकर्ता] या [उपयोगकर्ता] [hostingprovider। ] .com स्टाइल पेज)। यदि आपके पास एक साइट के साथ पासवर्ड है, तो वहां पर मौजूद कोई भी साइट अब उन्हें बिना किसी समस्या के प्रतिरूपण कर सकती है।
अंत में, लेखक प्रभावी रूप से एक वेबसाइट डोमेन के लिए इसे लागू करने के लिए एक HMAC (हैश आधारित संदेश प्रमाणीकरण कोड) बनाने की कोशिश कर और किया जा रहा है, लेकिन बहुत कम के साथ उस पर एक नहीं बल्कि kludgy, शौकिया प्रयास किया गया है अच्छी तरह से स्थापित क्रिप्टोग्राफिक सिद्धांतों के लिए सम्मान। आम तौर पर यह ठीक होगा, इस तरह हम सीखते हैं और मुझे कोई समस्या नहीं होगी। जब यह अन्य उपयोगकर्ताओं की सुरक्षा से संबंधित है, तो यह ठीक है क्योंकि बहुत से उपयोगकर्ता इस विधि को नियोजित करेंगे कि वे वास्तव में सुरक्षित नहीं हैं। निश्चित रूप से, यहां या वहां चोरी किया गया एक फोरम खाता वास्तव में इतना बड़ा सौदा नहीं है, लेकिन बैंकों के बारे में क्या है? क्रेडिट कार्ड? स्वास्थ्य रिकॉर्ड? अधिकांश अमेरिकी बैंकों को ध्यान में रखते हुए उपयोगकर्ता के एसएसएन फ़ाइल पर होते हैं, फिर यह पहचान की चोरी का दरवाजा खुलता है।
लेखक पासवर्ड सुरक्षा के प्रयोजनों के लिए इस सॉफ़्टवेयर को जारी करके पूरी तरह से गैर जिम्मेदार और संभावित रूप से लापरवाही है, बिना किसी सुरक्षा विशेषज्ञ द्वारा मूल्यांकन किए जाने के एक जटिल प्रयास के। सॉफ़्टवेयर लिखना बेहद गैर जिम्मेदार है और इसे 'सोच' के विचार के आधार पर रिलीज़ करना सुरक्षित है, खासकर यदि आप क्रिप्टोग्राफिक संरचनाओं या कंप्यूटर सुरक्षा में विशेषज्ञ नहीं हैं। यदि SuperGenPass का उपयोग करते समय किसी के पास अपना पासवर्ड चोरी हो गया है, तो मैं आग्रह करता हूं आप वकील से बात करने के लिए। आपके पास लेखक के खिलाफ एक नागरिक मामला हो सकता है।
क्या यह वास्तव में एक प्रोग्रामिंग प्रश्न है? –
हां यह है। [जावास्क्रिप्ट] [कोड-समीक्षा] –