¿El hash resuelve las contraseñas en partes?

Navega tus respuestas
1

De una respuesta a esta pregunta anterior: ¿Agregar palabras del diccionario a las contraseñas los debilita?

  

"... no tienes forma de reconocerla como una contraseña antes de probarla   (contra un hash o un servicio en línea) "

Esto plantea mi pregunta, para aclarar: ¿Pueden los ataques de diccionario y las herramientas relacionadas obtener comentarios sobre palabras o patrones, para resolverlos en partes? Si una herramienta de craqueo extrae el nombre del usuario en otra parte (por ejemplo, "Kim") y lo intenta con una frase de 20 caracteres, ¿no tiene que resolver la frase exacta de 20 caracteres antes de obtener la confirmación de la secuencia de 3 caracteres? y ubicación? ¿Los análisis de hash encuentran patrones para explorar?

    
pregunta antold 29.04.2013 - 21:08
fuente

2 respuestas

6

Las funciones hash criptográficas correctas son todo o nada: puede obtener la entrada correcta exacta, hasta el último bit , o no consigues nada. Sin patrones, sin resolución parcial, sin Mastermind , como el craqueo. Por eso se llama fuerza bruta : no hay ninguna delicadeza en el descifrado de contraseñas.

Ser capaz de resolver contraseñas "parcialmente" solo ocurre en las películas de Hollywood, o en casos de descarada incompetencia .

    
respondido por el Tom Leek 29.04.2013 - 21:24
fuente
3

¿Recordar bloqueos de combinación?

Conloscandadosdecombinación,suponiendoquenosufranunafalladediseñoimportanteyqueelatacantenoposeavisiónderayosX,esimposibledeterminarsilacombinaciónprobadaesunacoincidenciaparcialconelvalorpredeterminadodesbloquearcombinación.Losotrosanillosdebloqueoquenoestánensuposicióndesbloqueadaevitaránquelodesbloqueetodo,perotampocotieneformadedeterminarquéanillodebloqueoestáenquéposición.MuylimpioIMHO.

Ideal funciones hash criptográficas (las que no sufren de hash collisions (es decir, son resistentes a las colisiones) funcionan de la misma manera. Cambie un carácter de contraseña, y no hay forma de determinar una ecuación matemática que también tome un valor de hash anterior como entrada, y calcule la siguiente. Es por eso que las funciones hash criptográficas también se consideran funciones unidireccionales . Sabemos cómo calcular valores de hash si se les da algún valor como entrada, pero tampoco tenemos manera de revertir estas funciones para que funcionen de la otra manera. Al menos no por el momento.

Para la reflexión: realmente no podemos probar que alguna función es unidireccional, solo podemos demostrar que no lo es.

    
respondido por el TildalWave 29.04.2013 - 22:38
fuente

Lea otras preguntas en las etiquetas

No repudio que nunca puede ser probado ¿Existe alguna vulnerabilidad al utilizar XHR con el método GET y el encabezado HTTP personalizado anti-CSRF?