Reutilización del valor hash de la contraseña al servidor por un actor malicioso

1

Digamos que Alice inició sesión en enlace con su correo electrónico y contraseña:

  
    

Correo electrónico:         [email protected]

         

Contraseña:         correctHorseShoeBattery

         

Nonce dado por el servidor: 123139897120148130481041

         

Salt dado por el servidor: testafaaafadfm123

  
     

EJEMPLO de PBKDF2 Hash de contraseña concat con nonce junto con sal producido en el navegador del lado del cliente: 570DE37EB907202E9C96F

Mis preguntas son

  1. Es el cálculo hash de la contraseña de Alice concat con nonce & sal siempre se realiza en el lado del cliente?

  2. ¿No podría otra persona como Eve usar WireShark para detectar el valor hash y reutilizarlo para obtener acceso? ¿O tener el nonce ayuda para evitar eso?

  3. Ya que es HTTPS , ¿Eve todavía puede olerlo? Como todo se ve confuso, a diferencia de HTTP , donde Eve puede CTRL + F campo de contraseña.

  4. El acceso solo se otorgaría si el valor de hash generado por el usuario == el hash almacenado en la base de datos del servidor. Si es así, ¿cómo puede el servidor verificar el hash PBKDF2 de (contraseña concat nonce junto con salt) cuando la base de datos del servidor en el momento del registro de Alice solo almacena el hash de la contraseña y del salt en el momento del registro? Simplemente no coincidirán ya que el hash del servidor no tiene el valor nonce.

Creo que me estoy perdiendo algo y que alguien me ilumine, por favor. ¿Cuál es el estándar de la industria y lo que acabo de describir coincide con el proceso de inicio de sesión típico?

    
pregunta Killney 17.05.2018 - 12:14
fuente

0 respuestas

Lea otras preguntas en las etiquetas