Se trata de una aplicación web en la que un usuario tiene que iniciar sesión con su correo electrónico personal como ID y una contraseña que ha elegido personalmente.
Si un atacante de alguna manera obtuvo acceso a un almacén de credenciales con una lista de todos los hashes PBKDF2 con las direcciones de correo electrónico, ¿en qué medida podría usarse maliciosamente?
El atacante tendría que romper los hashes para obtener las contraseñas originales. Dado que PBKDF2 realiza múltiples iteraciones de la misma función hash, el acto de descifrarlas sería significativamente más lento. El resultado final es que es menos probable que se revelen las contraseñas más débiles, lo que lleva a un porcentaje significativamente más bajo de contraseñas exitosamente craqueadas en la lista de credenciales.
Suponiendo que el atacante obtuviera las sales así como los hashes, podría ejecutar una lista de contraseñas conocidas utilizadas anteriormente contra la lista de hashes y obtener las contraseñas de la mayoría de los usuarios, ya que la mayoría de los usuarios usan contraseñas cuyo texto simple Ya se ha comprometido en alguna parte. No pudieron recuperar contraseñas largas y bien elegidas que nunca se han utilizado antes.
Lea otras preguntas en las etiquetas passwords hash cryptography pbkdf2