Encriptando el salt con contraseña [duplicado]

Navega tus respuestas
0

Las sales se almacenan en texto sin formato y están disponibles con las contraseñas de hash si la base de datos de contraseñas está comprometida. ¿Qué pasa si ciframos la sal utilizando la propia contraseña? ¿No hace que el ataque del diccionario fuera de línea sea más difícil ya que el atacante ahora tiene que identificar el salt para romper la contraseña y romper la contraseña para identificar el salt?

Con este esquema, la contraseña se revisa con un salt aleatorio y el salt aleatorio no se almacena de forma simple, sino que se cifra con la contraseña.

    
pregunta Curious 16.09.2014 - 08:38
fuente

1 respuesta

1

Un ataque común es verificar los hashes contra contraseñas comunes. En ese caso, su solución agregaría solo una ronda más de descifrado:

  1. elija una contraseña común (por ejemplo, "password123")
  2. descifre la sal con la contraseña elegida
  3. hash la contraseña elegida con la sal desencriptada

Por lo tanto, solo está haciendo los ataques más lentos e introduciendo más complejidad a su solución. Yo usaría un parámetro de mayor costo para su algoritmo de hash.

    
respondido por el Christian Strempfer 16.09.2014 - 08:57
fuente

Lea otras preguntas en las etiquetas

Almacén de claves de cifrado de múltiples usuarios Mi máquina es hackeada por alguien y se usa para atacar a otros a través de ssh, ¿cómo detenerlo? [duplicar]