¿Cómo entran en juego los algoritmos MD5 y Salt si el atacante usa el curl?

-2

Cuando el usuario inicia sesión en cualquier sitio, proporciona un nombre de usuario ('usuario01') y una contraseña ('contraseña123') en un formulario que luego envía. El usuario no tiene idea de cuál es el valor de su contraseña con hash que se almacena en la base de datos. El usuario solo escribe 'password123' como contraseña. Si alguien quiere forzar la fuerza bruta de esa cuenta, solo puede usar un ataque de diccionario y publicar en la misma URL de inicio de sesión con curl . ¿Cuál es entonces el valor de hashear tu contraseña en ese momento?

    
pregunta user3018765 25.10.2015 - 18:12
fuente

1 respuesta

2
  

Entonces, ¿cuál es el valor de hashear tu contraseña en ese momento?

El valor de las contraseñas de hashing y salado no está en el ataque de fuerza bruta "desde afuera", sino cuando alguien ingresa en su aplicación o base de datos (posiblemente de otra manera) y desea obtener las credenciales de los usuarios.

Si se almacenan sin hash, puede leerlos, lo que no es bueno, ya que muchos usuarios usan la misma contraseña para muchos servicios. Hashing con md5 lo hará solo un poco más complicado debido a las tablas Rainbow, pero la salada ofrece muchos más valores posibles y si el atacante desea obtener las contraseñas, debe realizar ataques de fuerza bruta para cada contraseña, aunque sepa la sal .

    
respondido por el Jakuje 25.10.2015 - 18:21
fuente

Lea otras preguntas en las etiquetas