Supongamos que sé que un sitio web utiliza BCrypt con sales y la ronda predeterminada de 10. ¿Puedo realizar un ataque de diccionario mediante el hash de todas las palabras usando BCrypt con los mismos parámetros?
Sí, puedes. bcrypt, (y otras funciones similares de hash de contraseñas lentas) no están diseñadas para hacer esto imposible, sino solo para que sea prohibitivamente costoso. Las contraseñas débiles aún son susceptibles de ser descubiertas, pero la cantidad de trabajo que necesita hacer un atacante aumenta sustancialmente, y en comparación con una función de hashing rápido, las contraseñas mucho más débiles no se pueden descifrar debido al trabajo adicional requerido para cada intento.
Lea otras preguntas en las etiquetas hash cryptography bcrypt