Si conocemos la sal en el hash, ¿es posible descifrar para extraer la contraseña del hash? Si es así, ¿cómo?
Las funciones de hash están diseñadas para ir de una sola manera. Si tiene una contraseña, puede convertirla fácilmente en un hash, pero si tiene el hash, la única manera de recuperar la contraseña original es mediante fuerza bruta, intentando todas las contraseñas posibles para encontrar una que genere el hash que usted necesita. tener. Suponiendo que la sal sea muy larga, no saber que la sal haría que sea casi imposible de romper (debido a la longitud adicional que la sal agrega a la contraseña), pero aún tiene que aplicar fuerza bruta incluso si conoce la sal.
Como ejemplo, digamos que la contraseña es "secreta" y la sal es "535743". Si simplemente se agrega el salt al final de la contraseña, entonces el hash que estarías descifrando sería un hash de la cadena "secret535743". Sin conocer el hash, tendrías que probar todas las posibilidades hasta que alcances "secret535743", lo que llevaría bastante tiempo debido a su longitud (teniendo en cuenta que las sales reales son mucho más largas que esto).
Pero si sabe que la sal es 535743 y que se adjunta al final de la contraseña, entonces en lugar de intentar todo, usted intentaría "a535743", "b535743", "c535743", etc. reduce el número de posibilidades que tienes que probar hasta que alcances la cadena correcta.
Habiendo dicho eso, generalmente es bastante raro tener una situación en la que se conoce el hash pero no la sal, ya que ambos generalmente se almacenan en el mismo lugar.
Si sabe cómo se usa la sal cuando se le asigna un hash a la frase de texto claro esto solo facilita la fuerza bruta. La cantidad de posibilidades que tiene que verificar se reducirá drásticamente, ya que solo tiene que verificar la frase sin la sal. Aún así, si es una frase larga con muchos caracteres diferentes, tomará mucho tiempo.
Cuando la contraseña no tiene sal y, por ejemplo, se usa la función md5, un pirata informático potencial puede ir a las bases de datos en línea y solo buscar una contraseña correcta.
Cuando la contraseña está salada, entonces uno debe forzar la fuerza bruta, lo que requiere mucho tiempo. Si el atacante no conoce la sal, en la práctica es imposible piratearla.
Lea otras preguntas en las etiquetas hash salt password-cracking