Mi amigo escribe las contraseñas con el algoritmo SHA512 sin sal. ¿Cómo le convenzo de que necesita agregar sal?

Question

Mi amigo escribe las contraseñas con el algoritmo SHA512 sin sal. ¿Cómo le convenzo de que necesita agregar sal?

#1 de MrZander (13 votos)
#2 de Xander (8 votos)
#3 de schroeder (3 votos)

1

Hoy descubrí algo increíblemente estúpido: mi amigo borra las contraseñas de los usuarios con el algoritmo sha512 sin sal. Inmediatamente le planteé este problema, pero él dijo que quiere ver a alguien descifrar una sola contraseña en su base de datos. Le dije que sin un hash, su base de datos es vulnerable al ataque del arco iris, pero dijo que nadie tenía esta gran tabla del arco iris para sha512, ya que cada una tiene 64 caracteres hexadecimales.

¿Cómo puedo convencerlo de que todavía necesita agregar sal? ¿Alguien sabe cuál es la tasa de craqueo de hash de sha512? Podría argumentar entonces que tomaría tanto o mucho tiempo descifrar todas las contraseñas de 8 caracteres, etc.

passwords hash salt password-cracking algorithm

pregunta bodacydo 10.10.2014 - 22:03

fuente

3 respuestas

Lea otras preguntas en las etiquetas passwords hash salt password-cracking algorithm

¿Cuándo usar SSL? / ¿Cuándo enviar contraseñas por correo? Cómo encontrar el sistema operativo de la máquina de destino

score 13 · Answer 1

13

¿Qué tal si tomas su desafío? Vaya a hacer una tabla rápida de contraseñas comunes y ejecútela base de datos. Usted está obligado a golpear algo (especialmente si él no tiene una política de contraseña). Sin embargo, esto puede no funcionar si tiene una pequeña base de datos.

respondido por el MrZander 10.10.2014 - 22:08

fuente

score 8 · Answer 2

Incluso si él estuviera usando una sal, aún sería un plan terrible. SHA-512 es un hash rápido, por lo que no necesita tablas de arco iris para encontrar contraseñas, simplemente se pueden realizar pruebas de entrada junto con la sal a una tasa de cientos de millones a miles de millones de contraseñas candidatas probadas por segundo.

Lo que su amigo debería hacer es leer las respuestas a ¿Cómo hash seguro las contraseñas? Y luego elige un mecanismo de hashing de contraseña adecuado como BCrypt o PBKDF2.

score 3 · Answer 3

Puede que sea técnicamente correcto, pero sigue siendo un mal diseño.

Su enfoque significará que las contraseñas duplicadas generarán el mismo hash, lo que puede reducir el costo de un atacante (si descubre una contraseña de texto sin formato de un usuario y también puede obtener los hashes de la contraseña, puede ver qué cuentas usa). la misma contraseña).

Su enfoque también depende del estado actual del arte de generar hashes. Al agregar una sal, él 'prueba su futuro' (odio ese término) su diseño.