¿Puedo evitar el forzamiento brutal de contraseñas de usuario con hash + salted sin un servidor de validación dedicado? [duplicar]

-3

Los hash salados no parecen ofrecer ninguna protección real para las contraseñas de los usuarios por sí mismas. Mientras un pirata informático tenga una forma rápida de verificar si una contraseña es correcta o incorrecta, es trivial forzarla a ver las contraseñas de texto sin formato. Especialmente si el atacante está utilizando GPU o una solución FPGA / ASIC.

Por lo que he recopilado, debería enviar mis contraseñas de hash + salted a un servidor dedicado (endurecido) en mi red cuya única tarea es la validación (a través de claves secretas). Un pirata informático tendría que obtener acceso a ambos servidores antes de poder recuperar las contraseñas de texto sin formato. Me gusta esta solución, pero no me gusta el costo de alquilar otro servidor.

¿Existen alternativas al uso de un servidor de validación dedicado?

    
pregunta Mr. Smith 06.01.2015 - 07:03
fuente

2 respuestas

3

La solución habitual es simplemente imponer contraseñas que sean de una longitud que haga que la fuerza bruta sea muy poco trivial.

Eche un vistazo a cualquiera de nuestras preguntas sobre la fuerza de la contraseña o la entropía y verá qué complejidad / longitud de la contraseña es necesaria para asegurarse de que incluso los forzadores brutos basados en GPU fallarán durante el período de tiempo que necesita.

    
respondido por el Rory Alsop 06.01.2015 - 08:50
fuente
1

La solución adecuada es no usar un hash con sal simple, sino un algoritmo lento diseñado específicamente para proteger contraseñas, como bcrypt , PBKDF2 o scrypt .

Aquí hay muchas preguntas sobre cómo proteger las contraseñas y sobre esos algoritmos ...

    
respondido por el AviD 06.01.2015 - 11:03
fuente

Lea otras preguntas en las etiquetas