<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Feb 11, 2013 at 10:20 AM, M.-A. Lemburg <span dir="ltr"><<a href="mailto:mal@egenix.com" target="_blank">mal@egenix.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>On 11.02.2013 14:49, Christian Heimes wrote:<br>
> Am 11.02.2013 14:38, schrieb Donald Stufft:<br>
>> On Monday, February 11, 2013 at 8:15 AM, M.-A. Lemburg wrote:<br>
>>> Giovanni Bajo wrote:<br>
>>>> Il giorno 11/feb/2013, alle ore 13:25, Jesse Noller<br>
>>>> <<a href="mailto:jnoller@gmail.com" target="_blank">jnoller@gmail.com</a> <mailto:<a href="mailto:jnoller@gmail.com" target="_blank">jnoller@gmail.com</a>>> ha scritto:<br>
>>>><br>
>>>>> Actually I was thinking about this in the shower: the likelihood<br>
>>>>> that pypi users used the same passwords as they did on the wiki is<br>
>>>>> probably much higher than any of us assume.<br>
>>>><br>
>>>> Given that the passwords were unsalted in both instances, a set<br>
>>>> intersection is enough to verify.<br>
>>><br>
>>> The moin wiki passwords were salted.<br>
>>><br>
>>> The reason we reset the passwords, was that the attackers had<br>
>>> access to both the salt and the hashes.<br>
>>><br>
>> What were they hashed with? Even with a salt a fast hash is trivial to<br>
>> bruteforce for a large number of passwords in practically no time<br>
>> with trivial hardware.<br>
><br>
> It uses SSHA, that's sha1(password + salt) with a seven char salt.<br>
<br>
</div>Right, should have added that information.<br>
<br>
BTW: I wonder why salt and password are usually stored together<br>
in the same place. The moin implementation also did not add any<br>
application salt to the password string before calculating the<br>
hash value (ie. x = hash(random_salt + application_salt + password)).<br>
Not sure whether passlib does, either.<br></blockquote><div><br></div><div>The salt, which should be random and unique for every user, is only there to obsolete precomputation attacks and to make sure two users will not have the same password hash even if they choose the same password. It is not a secret.<br>
<br>IMO "per-application salt" should be called "hash function customization". I don't think it buys you much over normal per-password salts.<br></div></div></div></div>