Optimizing the computation of password hashes
| Title: | Optimizing the computation of password hashes |
| Author(s): | Andersson, Markus |
| Contributor: | University of Helsinki, Faculty of Science |
| Degree program: | Master's Programme in Computer Science |
| Specialisation: | Networks |
| Language: | English |
| Acceptance year: | 2023 |
| Abstract: |
Using password hashes for verification is a common way to secure users’ passwords against a potential data breach. The functions that are used to create these hashes have evolved and changed over time. Hackers and security researchers constantly try to find effective ways to derive the original passwords from these hashes.
This thesis focuses on cryptographic hash functions that get passwords as inputs and on the different methods an attacker may use to deduce a password from a hash. The research questions for the thesis are:
1. What kind of password hashing techniques have evolved from the viewpoints of a defender and an attacker?
2. What kind of observations can be made when studying the implementations of the hashing algorithms and the tools that the attackers use against the hashes?
The thesis examines some commonly used hash functions for passwords and common attack strategies that are used against them. Hash functions developed especially for passwords such as PBKDF2 and Scrypt will be explained. The password recovery tool Hashcat is introduced and different ways to use the tool against password hashes are demonstrated. Tests are done to show off differences in hash functions, as well as what kind of effect offensive and defensive techniques have against password hashes. These test results are explained and reviewed.
Användning av lösenordshashar för verifiering är ett vanligt sätt att säkra användarnas lösenord i fall av eventuella informationsläckage. De funktioner som används för att skapa dessa hashar har utvecklats och förändrats under tidens gång. Både hackare och säkerhetsforskare försöker ständigt hitta effektiva sätt att härleda de ursprungliga lösenorden från dessa hashar.
Denna avhandling fokuserar på kryptografiska hashfunktioner som tar lösenord som inmatning, samt på de olika metoder en hackare kan använda för att härleda ett lösenord från en hash. Forskningsfrågorna för avhandlingen är:
1. Vilka typer av tekniker för lösenordshashning har utvecklats från synvinkeln av både en försvarare och en hackare?
2. Vilka observationer kan göras då man studerar verktygen som hackarna använder emot hashar och hur hashalgoritmerna har implementeras?
Avhandlingen undersöker hashfunktioner som i allmänhet används för lösenord och vanliga anfallstrategier som används emot dem. Hashfunktioner som har utvecklats speciellt för lösenord, såsom PBKDF2 och Scrypt, kommer att förklaras. Återhämtningsverktyget för lösenord Hashcat introduceras och olika sätt att använda verktyget mot lösenordshashar demonstreras. Tester utförs för att visa skillnader i hashfunktioner. Dessutom demonstreras effekten av offensiva och defensiva tekniker mot lösenordshashar. Testresultaten kommer att förklaras och granskas.
|
| Keyword(s): | Security Passwords Hash functions Hashcat |
Files in this item
| Files | Size | Format | View |
|---|---|---|---|
| Andersson_Markus_thesis_2023.pdf | 619.3Kb |
This item appears in the following Collection(s)
-
Faculty of Science [3911]