Entiendo que hace que una contraseña sea más segura al aumentar su longitud y al agregar números y símbolos, ya que aumenta la cantidad de posibilidades que un pirata informático tendría que aplicar a la fuerza bruta. Sin embargo, ¿sabría de antemano la longitud de la contraseña y si usó números o símbolos? ¿O solo lo descubriría lentamente mientras su máquina de fuerza bruta se aleja?
Incluso la mayoría de las rutinas de hash débiles como MD5 no revelan la longitud o la diversidad de caracteres en su contraseña hasta que se encuentra el hash correspondiente.
Esto es gracias a algo llamado Efecto Avalanche de hashes criptográficos.
Esto es cierto aún más para hashes fuertes. El atacante no tendría ninguna pista sobre la contraseña hasta que la fuerza bruta encuentre una coincidencia.
Es importante que el desarrollador utilice una sal única por usuario, para evitar el uso de tablas Rainbow ya existentes.
La forma en que se almacenan las contraseñas en estos días tiene cuidado de no revelar nada al atacante. La forma almacenada de la contraseña tiene una longitud fija, e incluso el propietario del sistema no puede encontrar la contraseña original que produce esta representación de longitud fija; en teoría, la única forma de saber si tiene la contraseña correcta es ingresarla y ser ha iniciado sesión correctamente.
Un ataque de diccionario de fuerza bruta intenta todas las contraseñas posibles, empezando por la cadena vacía, cada cadena de 1 carácter posible, cada cadena de 2 caracteres posible, etc.
Revelar detalles sobre contraseñas aceptables ayuda a los atacantes a modificar sus ataques. Si saben que la contraseña debe tener al menos 12 caracteres, pueden omitir aquellas partes del ataque del diccionario que tengan 11 caracteres o menos. De manera similar, si saben que tiene que haber al menos un dígito y un carácter de puntuación, pueden omitir las entradas del diccionario que no cumplan con estos criterios. (Sin embargo, estos criterios pueden ser útiles, ya que obligan a los usuarios a salir del grupo aún más bajo de contraseñas totalmente alfanuméricas).
como dijo George Bailey, no es posible. La práctica segura para almacenar una contraseña es agregar un salt y luego hacer un hash un gran número de veces. tan pronto como se utiliza la función de hash la primera vez que un humano no podría decir qué componentes contiene una contraseña, aunque las computadoras comunes son lo suficientemente potentes en la actualidad que podrían descifrar la contraseña completa a la vez si es solo hash una vez. pero no hay forma de descifrar una contraseña con hash "en partes"
ahora, la razón por la que se hizo de esta manera es porque si supiera que había, por ejemplo, cinco números y tres letras en la contraseña, podría usarla para descifrar la contraseña. cómo ? hay secuencias de comandos que pueden generar una lista extremadamente larga de cada combinación posible de cinco números y tres letras, y luego podría usar otra secuencia de comandos que intente cada contraseña en la lista generada hasta que se craque.
Lea otras preguntas en las etiquetas password-cracking