¿No es seguro codificar una contraseña con más de una sal?

Navega tus respuestas
2

Estoy haciendo mi pregunta aquí porque no pude encontrar una respuesta en ningún lugar. He escrito un software que almacena contraseñas bastante delicadas. He usado BCrypt como algoritmo de hash con una configuración de fuerza apropiada. El punto es que ahora he implementado un método que, cada vez que el usuario cambia algo, elige un nuevo salt aleatorio y alisa las contraseñas usando el nuevo salt. Ahora, en el peor de los casos, alguien tendría, digamos, cien pares de contraseñas con el sal utilizado. Mi pregunta es si esta información ayudaría a un atacante y, en caso afirmativo, en qué medida.

Gracias a todos los que se toman su tiempo para leer / responder mi pregunta en ventaja. Saludos, Tephelon

    
pregunta Tephelon 07.07.2014 - 21:12
fuente

2 respuestas

2

Suponiendo que quiere decir que un atacante tiene 100 copias de la misma contraseña con 100 sales diferentes, entonces no, eso no les proporciona ninguna ventaja en los hallazgos de la contraseña de texto simple. El beneficio de usar diferentes sales significa que los intentos de craqueo dirigidos a cualquiera de los hashes deben realizarse independientemente del trabajo computacional utilizado para los demás.

En teoría, un atacante podría construir una tabla de arco iris con hash bcrypt usando una sal específica. Al aumentar la cantidad de hashes salados, aumenta la probabilidad de que uno de sus hashes salados coincida con la sal con la que construyeron su tabla de arco iris. Sin embargo, si tu sal es elegida entre un grupo razonable de posibilidades, esto tiene una posibilidad infinitamente pequeña de pagar por el atacante.

    
respondido por el PwdRsch 07.07.2014 - 21:37
fuente
0

No, no ayudaría al atacante. Las sales, de hecho, están diseñadas específicamente para hacer imposible que un atacante sepa que dos contraseñas son iguales, así como para que sea computacionalmente imposible que un atacante precompute los hashes de contraseña (consulte tablas de arco de navegación ).

Parece que su algoritmo hash está a la vanguardia mediante el uso de bcrypt con hashes aleatorios.

    
respondido por el David 07.07.2014 - 21:32
fuente

Lea otras preguntas en las etiquetas

¿Es una práctica aceptable solicitar credenciales de un dominio de confianza separado? Obtenga el historial del navegador sin usar un navegador