¿Puedo saber de alguna manera si se conoce mi hash de contraseña?

3

¿Hay alguna forma segura de saber si el hash de mi contraseña se conoce públicamente en Internet? Primero intenté buscarlo en Hashes.org ( enlace ), pero luego sospeché, que si no encuentra mi hash, luego se agregará a la lista desconocida y se descifrará. Me puse en contacto con Hashes.org, y me confirmaron que efectivamente funciona como está escrito arriba. Estoy tratando de usar contraseñas tan seguras como sea posible (y conveniente), pero si el hash descifrado ya está disponible, entonces realmente no importa. Gracias por su ayuda por adelantado.

    
pregunta András Geiszl 04.10.2015 - 19:26
fuente

1 respuesta

3

Si su contraseña se almacena correctamente, se almacena mediante el hashing de la contraseña y a salt. Aunque un cracker que viola el sistema en el que has creado una cuenta puede obtener la sal si puede obtener el hash, una sal de longitud no trivial detiene los ataques previos al cálculo y obliga al atacante a atacar cada contraseña por separado. Un algoritmo hash adecuadamente lento hace que los ataques a una sola contraseña sean difíciles, siempre que la contraseña sea lo suficientemente fuerte como para no estar en un diccionario ni sea vulnerable a los ataques heurísticos.

Por lo tanto, para una contraseña correctamente almacenada , el hash de la contraseña solo es esencialmente inútil para un atacante. (Por supuesto, muchos sitios no almacenarán las contraseñas correctamente, pero no hay mucho que puedas hacer para evitar que se vuelva a usar la contraseña).

Aquí hay más información sobre la salazón: enlace

Editar: He realizado el siguiente experimento con hashes.org. Primero calculé el hash MD5 de "amor", una contraseña tristemente común. Fue encontrado en hashes.org, como se esperaba. Luego calculé el MD5 de "amor" concatenado con "315379008", un número aleatorio de 32 bits. Como se esperaba, no se encontró no . Un sistema de contraseña real usaría un hash mucho más lento que el MD5 y una sal mucho más larga que 32 bits, por ejemplo 128 bits, lo que reducirá aún más las posibilidades de que se encuentre un hash precalculado, incluso para un Contraseña muy común. (Por supuesto, "amor" sigue siendo una contraseña terrible, incluso si está correctamente salada, ya que caerá en manos del atacante que tiene acceso a la sal. igual necesitas una contraseña segura.)

    
respondido por el Bob Brown 04.10.2015 - 19:34
fuente

Lea otras preguntas en las etiquetas