¿Qué tan seguras son las contraseñas con hash que también se incluyen?

La sal no protege contra los ataques de fuerza bruta porque la sal generalmente se almacena junto al hash en texto claro, por lo que no agrega entropía adicional (desconocida). La sal es una mitigación contra los ataques de la tabla del arco iris .

La protección contra la fuerza bruta es proporcionada por el propio algoritmo de hashing. El algoritmo hash debe ser slow para que un ataque de fuerza bruta tomará una cantidad de tiempo inviable.

Además, la "pimienta" criptográfica agregada al texto claro + sal puede hacer que el ataque de fuerza bruta sea más difícil porque hace que un ataque de diccionario sea imposible. Por otro lado, si el hacker tiene acceso a la tabla de DB con los hashes y las sales, también puede tener acceso a la pimienta.

Si el sistema SAP usa pimienta, la longitud de la contraseña no importa, porque la pimienta será más larga que la contraseña de todos modos. Si no lo hace, entonces las contraseñas más cortas son más vulnerables ya que el ataque de fuerza bruta buscará primero las contraseñas más cortas.

Más información sobre sal contra pimienta aquí y aquí .

Una sal puede hacer fuerza bruta mucho más tiempo. Suponiendo que el atacante solo tiene hashes, tendrá que averiguar el algoritmo de hash y la sal. A veces, puede ver el hash utilizado mirando el hash o, al menos, reducirlo. Lo siguiente es encontrar la sal. Por lo general, un hacker probablemente tiene muchos hashes. Puede asumir que un usuario tiene la contraseña llamada "contraseña" o que el pirata informático creó su propia cuenta para que conozca la contraseña y comience a agregar un salt hasta que obtenga una coincidencia. Es mejor tener una sal única por contraseña para hacer este proceso más engorroso, aunque pueden enfocar todos los recursos en el hash de un administrador.