Tengo curiosidad, hasta qué punto son explotables las contraseñas si la comparación de la contraseña subyacente es vulnerable a los ataques de tiempo. Mi principal preocupación es que la velocidad de Internet varía continuamente, los tiempos de respuesta del servidor web cambian según la carga del servidor, etc.
Si la diferencia de tiempo se encuentra en la comparación de contraseñas de texto simple, no es realmente factible hacerlo a través de Internet. Sin embargo, a menudo es posible que el atacante tenga acceso a una computadora en la misma red, o incluso a una máquina virtual en el mismo hardware, al alojar su ataque con el mismo proveedor de alojamiento que el sitio web de destino.
Si el sitio utiliza contraseñas con hash y compara los hashes en lugar de la contraseña de texto sin formato, este escenario de ataque de sincronización ya no se aplica.
Lea otras preguntas en las etiquetas web-application timing-attack