Dado el hash, salt, charset y la longitud de la contraseña, ¿cómo se obtiene la contraseña sin forzarla?

Question

Dado el hash, salt, charset y la longitud de la contraseña, ¿cómo se obtiene la contraseña sin forzarla?

Navega tus respuestas

#1 de Gilles (2 votos)

2

Obtuve esa pregunta en un ejercicio y no estoy seguro de qué responder.

Sin la fuerza bruta convencional y sin una tabla arco iris, ¿cómo puedo averiguar la contraseña?

Un algoritmo mejorado de fuerza bruta es aceptable, pero ¿cómo podría mejorarlo?

passwords brute-force encryption

pregunta yzT 07.03.2014 - 21:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords brute-force encryption

Can MiTM y ataques similares se pueden realizar en redes separadas ¿Se escribe algo en el disco cuando se realiza una inyección de DLL?

score 2 · Answer 1

Suponiendo una función hash decente, la única forma de encontrar la contraseña en esta situación es adivinarla . Esto es cierto para cualquier función hash criptográfica : es el significado de la propiedad de resistencia de preimagen. Esto es cierto para cualquier hash criptográfico; las funciones hash de contraseña tienen propiedades adicionales ( sal y lentitud ) que lo hacen más costoso para verificar las conjeturas.

tablas del arco iris funcionan precomputando El hash de muchas contraseñas y su almacenamiento de manera que permita encontrar rápidamente la contraseña del hash si la contraseña está en el conjunto precomputado. En otras palabras, haces muchas conjeturas por adelantado.

"Forzar la fuerza bruta convencional" es un término ambiguo. Puede referirse a intentar contraseñas en un orden ingenuo (por ejemplo, aumentando la longitud). Pero eres libre de hacer conjeturas en cualquier orden. Por ejemplo, tiene sentido intentar 123456 , password y iloveyou antes de quszoy y nyoktw . Así que asegúrate de probar las adivinanzas en una intelligent order .

No puede encontrar la contraseña de ninguna otra manera por medios computacionales, pero puede encontrarla por medios externos , como:

Snooping: espera hasta que el usuario ingrese su contraseña y vigile por encima del hombro, escuche sus pulsaciones, ...
Spyware: instale un keylogger (físico o software) en la computadora del usuario y espere hasta que ingresen su contraseña.
Fuga de datos: lea la nota de post-it en su monitor, o abra la caja fuerte del banco y abra el sobre.
Man-in-the-middle: escuche la comunicación entre la computadora del usuario y el servidor protegido por contraseña mientras escriben su contraseña.
Phishing: simule ser el administrador del sistema del servidor u otra figura de autoridad y haga que el usuario escriba su contraseña en su computadora en lugar de la legítima.
Ingeniería social: ofrezca al usuario mucho dinero o una barra de chocolate . Si falla, aplique wrench cryptanalysis (o una manguera de goma si eres un fanático de la tradición).