¿Qué podría hacer un atacante si obtuviera acceso a los hashes PBKDF2?

7

Se trata de una aplicación web en la que un usuario tiene que iniciar sesión con su correo electrónico personal como ID y una contraseña que ha elegido personalmente.

Si un atacante de alguna manera obtuvo acceso a un almacén de credenciales con una lista de todos los hashes PBKDF2 con las direcciones de correo electrónico, ¿en qué medida podría usarse maliciosamente?

    
pregunta deltzy 10.09.2018 - 10:39
fuente

2 respuestas

9

El atacante tendría que romper los hashes para obtener las contraseñas originales. Dado que PBKDF2 realiza múltiples iteraciones de la misma función hash, el acto de descifrarlas sería significativamente más lento. El resultado final es que es menos probable que se revelen las contraseñas más débiles, lo que lleva a un porcentaje significativamente más bajo de contraseñas exitosamente craqueadas en la lista de credenciales.

    
respondido por el forest 10.09.2018 - 10:47
fuente
4

Suponiendo que el atacante obtuviera las sales así como los hashes, podría ejecutar una lista de contraseñas conocidas utilizadas anteriormente contra la lista de hashes y obtener las contraseñas de la mayoría de los usuarios, ya que la mayoría de los usuarios usan contraseñas cuyo texto simple Ya se ha comprometido en alguna parte. No pudieron recuperar contraseñas largas y bien elegidas que nunca se han utilizado antes.

    
respondido por el Mike Scott 10.09.2018 - 11:00
fuente

Lea otras preguntas en las etiquetas