Autenticación de usuarios al verificar si la clave puede descifrar una frase en comparación con una contraseña en una base de datos [duplicado]

Question

Autenticación de usuarios al verificar si la clave puede descifrar una frase en comparación con una contraseña en una base de datos [duplicado]

#1 de WhiteWinterWolf (-1 votos)

-1

Tengo curiosidad: ¿por qué almacenaríamos una contraseña en una base de datos cuando podemos simplemente cifrar una frase como "desbloquearme" con esa contraseña y luego, al iniciar sesión, ver si la frase cifrada se puede descifrar correctamente? con esa llave? La forma en que lo veo, hay una ventaja: si alguien debe piratear una red informática y obtener acceso a su cuenta, si el cifrador utiliza un algoritmo impermeable a los ataques de texto simple conocido, podría cambiar la contraseña pero "nunca" sería capaz de obtener la contraseña original, lo que le permite utilizar esa contraseña en sitios más seguros.

Ahora que lo pienso, podemos, y probablemente lo hagamos, usar una técnica similar en los administradores de contraseñas.

authentication

pregunta moonman239 26.09.2015 - 03:50

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication

Configuración del tiempo de espera de HTTP del inversor del medidor Averiguar los agentes de usuario permitidos para un sitio web

score -1 · Answer 1

Si cifras la misma frase para todos los usuarios, esto causará dos problemas principales:

Dos usuarios que compartan la misma contraseña serán inmediatamente identificables ya que compartirán la misma versión encriptada,
El ataque de Bruteforce contra esta base será fácil, ya que será suficiente para calcular solo un hash de contraseña para compararlos con todos los usuarios para determinar si un usuario usa esta contraseña.

Por supuesto, podría intentar usar una cadena diferente para cada usuario, como esta persona que pensó sobre el mismo esquema que usted, pero usó el nombre de usuario en lugar de una oración fija codificada.

Pero incluso allí, terminará con el problema principal de que la función de cifrado está diseñada para ser rápida y requiere la menor cantidad de recursos posible. Este también es un gran regalo para los ataques de fuerza bruta, ya que esto significa que se intentará un gran número de contraseñas en un período de tiempo muy corto.

Entonces, la conclusión de todo esto es que, al tratar de proteger las contraseñas de autenticación, debe confiar definitivamente en las funciones especialmente diseñado para este uso .