Entiendo que se siguen los siguientes pasos cuando inicio sesión en un sitio: 1. Mi contraseña es hash 2. El hash se compara con lo que está almacenado en la base de datos. 3. Si los hashes son iguales, puedo iniciar sesión.
También estoy bastante seguro de que si los atacantes obtienen acceso a la base de datos de contraseñas, pueden usar la fuerza bruta para encontrar las contraseñas de texto claro si el algoritmo de hashing es lo suficientemente débil.
Mi pregunta es, ¿existe alguna forma para que un atacante omita el paso 1 anterior? Es decir. Si él / ella ha obtenido acceso a una lista de contraseñas con hash, ¿puede el pirata informático presentar ese hash al servidor, evitando así el paso de hash?