¿Es una mala práctica prefijar mi hash con el algoritmo usado?

Muchos sistemas de hashing de contraseñas diferentes hacen esto. El tipo de mecanismo de hash utilizado no debería ser (y no debería ser necesario) un secreto. principio de Kerckhoffs dice:

  

Un criptosistema debe ser seguro incluso si todo sobre el sistema,   excepto la clave, es de conocimiento público.

Por lo tanto, si su sistema es seguro, no debería importar si el mecanismo hash está expuesto.

Estoy de acuerdo con schroeder en que está bien hacerlo. Incluso sin un prefijo, un atacante probablemente pueda averiguar qué algoritmo está usando. Y de todos modos, es la fuerza del algoritmo de hash que protege las contraseñas, no el secreto del algoritmo.

Tenga en cuenta que muchos algoritmos de hash y bibliotecas ya lo hacen por usted. Incorporan toda la información relevante (algoritmo, factores de costo, sal, el hash real) en una cadena serializada. Consulte, por ejemplo, el Formato de cripta modular o el PHP password_hash . Así que no vayas a hacer tu propio esquema. Si está utilizando una biblioteca de hashing descendente, ya tiene una.

Sin embargo, no use SHA1 para hash de contraseñas. Eso no está bien.

No, no es una mala práctica, y podría decirse que debería mantener esta información.

Como puede observar, esto le permite cambiar el algoritmo para nuevas contraseñas siempre que lo desee, sin invalidar las contraseñas existentes de todos los usuarios (esto hace que sea impopular, por alguna razón).

Hay un argumento de que esto permite que un atacante busque las contraseñas antiguas y más débiles para atacar primero, pero no ha reducido su seguridad en absoluto (asumiendo el principio de Kerckhoff, que el algoritmo en sí no debe ser un secreto ).

Es una buena práctica almacenar el algoritmo de hash, pero las funciones de hashing de contraseñas como Argon2 y PBKDF2 ya se encargan de esto. Sin embargo, es una mala práctica usar SHA1 o SHA256 solo para el hash de contraseñas porque son una cantidad fija (y relativamente pequeña) de trabajo de crack mediante ataques de diccionario y fuerza bruta. Esas contraseñas deben migrarse a una función de hash segura volviendo a grabar la contraseña en su próximo inicio de sesión. Consulte enlace para obtener más información.

No es una mala práctica, en realidad es algo común. De hecho, si abre el archivo /etc/shadow en una máquina Linux, verá que su contraseña de hash tiene el prefijo $ x $ salt $, donde x es un número que indica qué algoritmo de hash se utilizó.

Ahora algunas cosas a considerar:

• no use SHA1 directamente como un algoritmo de hash. Use bcrypt, scrypt o argon2 en su lugar (lo que mencionó pero esto no se puede repetir demasiado). Estos utilizan un algoritmo de hashing simple como SHA1 como base, pero lo ejecutan de una manera especial que lo hace resistente a los ataques.
• por razones prácticas, ya que está utilizando una base de datos y no un archivo, es posible que desee almacenar el método de hash y la sal en filas separadas. Sin embargo, también puede optar por almacenar la cadena que comienza con $ x $ salt $ en su base de datos, y analizar el método de sal y hashing de esa cadena en el momento de verificar la contraseña. Probablemente sea lo suficientemente rápido como para que no haya una diferencia significativa. Y en ambos casos, la seguridad de su sistema será la misma.