Envío de contraseña a través de la red [duplicado]

-1

En caso de que no haya TLS / SSL disponible, ¿por qué no puedo usar el hash de la contraseña (SHA512) como la clave para cifrar la contraseña (sin ningún tipo de sal) para enviar a través de la red? Ataques MITM que puedo entender, pero ¿cuáles son los otros posibles ataques?

    
pregunta user34694 26.11.2013 - 14:35
fuente

1 respuesta

5

El único propósito de SSL es evitar que Man in the middle suceda. No tener SSL / TLS solo significa que no puede tener:

  • Confidencialidad
  • Integridad

Además, la contraseña es solo un token utilizado para la autenticación, no se requiere que tenga la contraseña real si el token de acceso es el hash. Puede realizar un ataque de repetición / repetición si puede detectar el hash de la red y proporcionarlo a su aplicación para autenticarse en su servicio.

Un ejemplo de tal ataque se puede encontrar en Windows. Se llama el ataque pass-the-hash .

    
respondido por el Lucas Kauffman 26.11.2013 - 14:43
fuente

Lea otras preguntas en las etiquetas