Conociendo una contraseña, el valor hash correspondiente y la sal utilizada, pude reducir los posibles algoritmos utilizados.
¿Cómo puedo obtener el algoritmo hash utilizado y su factor de trabajo?
Nota: esta pregunta no es un duplicado de "¿Cómo puedo encontrar el algoritmo de hashing utilizado?" ya que las preguntas no contemplan el factor de trabajo.
El factor de trabajo solo se aplica a algunos algoritmos de hash, por lo que aún necesita encontrar una forma confiable de identificar el hash, y la mayoría de los hashes son prácticamente indistinguibles en términos de resultados, más allá de haber establecido longitudes:
539080ba278cf4cf4db2e4a32642ff30
8d777f385d3dfec8815d20f7496026dc
042636dba1586150f13670473360ca06
2eb9b7b30492034d392888f72ace81a1
son todos los hashes de 32 caracteres de la misma entrada. La única forma de saber cuál es cuál es tratar de mezclarlos todos con funciones que produzcan una salida de 32 caracteres (128 bits, en representación de Base-64).
Dado que el factor trabajo debe conocerse para que el usuario legítimo pueda recrear el hash, debe almacenarse de alguna manera. Por ejemplo, los hashes de bcrypt tienen el costo incluido como segundo parámetro:
$2a$04$BsM7V0W/.V5z.p//XMUJeu.C537J/XoMYYKuCV8vDBq65KgKiDH4.
$2a$12$noxpk3amerDxXofuz4ViS.nOsnK4TWqXnmlfj6Y8b71ERVeZ7Bj5G
En estos (que tienen la misma cadena que antes), el costo para el primer ejemplo es 4 (2 ^ 4 rondas de expansión de teclas), y para el segundo es 12 (2 ^ 12 rondas de expansión de teclas).
Para otros algoritmos, generalmente es parte de "representaciones comunes", de lo contrario, debe almacenarse en un código, que tiende a ser más difícil de actualizar si los avances en el cálculo de hash significan que se deben usar factores de trabajo incrementados. Si solo tienes el hash sin procesar, sin las otras partes, la única forma es forzar tu camino a través de posibles factores de trabajo ...
Lea otras preguntas en las etiquetas passwords hash password-cracking