¿Qué tan seguras son las contraseñas con hash que también se incluyen?

0

SAP Netweaver tiene sus contraseñas con hash y también con sal. Pero leí que una herramienta como John the Ripper puede imponerles fuerza bruta.

Entonces, ¿cómo varía la seguridad cuando las contraseñas están encriptadas, en particular en el sistema sap?

¿qué pasa si tengo una contraseña como esta ... a12345?

¿Es fácil utilizarlo con fuerza bruta, aunque sea, digamos, salado?

    
pregunta Kratos 20.11.2013 - 20:05
fuente

2 respuestas

2

La sal no protege contra los ataques de fuerza bruta porque la sal generalmente se almacena junto al hash en texto claro, por lo que no agrega entropía adicional (desconocida). La sal es una mitigación contra los ataques de la tabla del arco iris .

La protección contra la fuerza bruta es proporcionada por el propio algoritmo de hashing. El algoritmo hash debe ser slow para que un ataque de fuerza bruta tomará una cantidad de tiempo inviable.

Además, la "pimienta" criptográfica agregada al texto claro + sal puede hacer que el ataque de fuerza bruta sea más difícil porque hace que un ataque de diccionario sea imposible. Por otro lado, si el hacker tiene acceso a la tabla de DB con los hashes y las sales, también puede tener acceso a la pimienta.

Si el sistema SAP usa pimienta, la longitud de la contraseña no importa, porque la pimienta será más larga que la contraseña de todos modos. Si no lo hace, entonces las contraseñas más cortas son más vulnerables ya que el ataque de fuerza bruta buscará primero las contraseñas más cortas.

Más información sobre sal contra pimienta aquí y aquí .

    
respondido por el John Wu 21.11.2013 - 03:29
fuente
2

Una sal puede hacer fuerza bruta mucho más tiempo. Suponiendo que el atacante solo tiene hashes, tendrá que averiguar el algoritmo de hash y la sal. A veces, puede ver el hash utilizado mirando el hash o, al menos, reducirlo. Lo siguiente es encontrar la sal. Por lo general, un hacker probablemente tiene muchos hashes. Puede asumir que un usuario tiene la contraseña llamada "contraseña" o que el pirata informático creó su propia cuenta para que conozca la contraseña y comience a agregar un salt hasta que obtenga una coincidencia. Es mejor tener una sal única por contraseña para hacer este proceso más engorroso, aunque pueden enfocar todos los recursos en el hash de un administrador.

    
respondido por el Matthew Scragg 20.11.2013 - 21:46
fuente

Lea otras preguntas en las etiquetas