¿Debo mantener en secreto los valores de hash? [duplicar]

1

Muchos sistemas cliente-servidor utilizan funciones hash para la autenticación de la contraseña de los usuarios. Usan contraseñas como entradas de diferentes funciones hash como MD5, SHA-1, etc. y calculan valores hash. Luego almacenan los valores hash en su base de datos.

Por lo que sé, si los craqueadores conocen los valores hash, pueden intentar recuperar contraseñas mediante ataques de fuerza bruta, ataques de diccionarios, tablas de consulta, etc.

Quiero saber si el siguiente hecho es cierto o no.

Es necesario mantener en secreto los valores de hash de los crackers si queremos que el sistema de autenticación sea difícil de crackear para los crackers.

    
pregunta Shahed al mamun 13.02.2017 - 16:13
fuente

1 respuesta

1

Sí, es necesario mantener los hashes en secreto.

Para los usuarios con contraseñas realmente buenas (largas y aleatorias), un hash filtrado podría no ser lo peor que podría pasar, ya que de todos modos podría ser inviable descifrarlo. Pero para los usuarios con contraseñas malas (cortas y no tan aleatorias), un hash filtrado en la práctica significaría que su cuenta está comprometida. Cualquiera puede usar brute force Passw0rd! , sin importar qué tan buena sea su función hash.

Hashing es un ejemplo de defensa en profundidad: como primera defensa, no desea que se filtren sus contraseñas, pero en caso de que lo sean, quiere que sean hash correctamente para minimizar el daño.

    
respondido por el Anders 13.02.2017 - 16:23
fuente

Lea otras preguntas en las etiquetas