¿Cuál es el punto en los números de teléfono de hash?

39

Algunos servicios (por ejemplo, ProtonMail) afirman almacenar hashes de números de teléfono , en lugar de los números de teléfono (mientras no dicen cómo lo hacen). Ahora, dado que el número de números de teléfono potencialmente válidos es muy pequeño (alrededor de 26 bits de información en un número de teléfono de 8 dígitos), debería ser bastante fácil recuperar un número de teléfono de su hash.

Entonces, ¿cuál es el punto?

    
pregunta BlenderBender 15.03.2018 - 15:35
fuente

4 respuestas

61

ProtonMail puede solicitar su número de teléfono para realizar una verificación humana:

  • ProtonMail detecta que estás intentando crear varias cuentas.
  • Le solicita un número de teléfono para enviarle un token por SMS.
  • Debes enviar ese token a ProtonMail para demostrar que eres el propietario del número de teléfono.

Luego, ProtonMail ya no necesita tu número de teléfono, pero aún así debe usarlo para evitar que los spammers creen varias cuentas.

Hashear el número de teléfono le permite no almacenar el número original y evitar que alguien use el mismo número dos veces.

De sus preguntas frecuentes :

  

Sin embargo, usar el mismo número de teléfono resultará en la obtención del mismo hash criptográfico, por lo que al compararlos, podemos detectar la reutilización del número de teléfono o las direcciones de correo electrónico para la verificación humana.

Por lo tanto, ProtonMail no parece usar sales únicas.

También sabemos gracias a un tweet de Bart Butler (CTO de ProtonMail) que:

  • ProtonMail limpia regularmente los hashes almacenados.
  • Los hashes almacenados no están vinculados a ninguna cuenta.

Bart Butler también tuiteó :

  

Usamos un hash de contraseña lento (con un salt) y borramos la lista y giramos el sal a intervalos irregulares.

En conclusión: forzarlos es posible, pero no es práctico ni útil.

    
respondido por el Benoit Esnard 15.03.2018 - 15:48
fuente
10

El hash es útil como un mapa indirecto, incluso si no es tan seguro como una configuración de hashing típica. Uno de los mayores beneficios es puramente social. Hashing (incluso un hash débil) dibuja una línea clara en la arena para un empleado sobre lo que es aceptable para ver. Poner cualquier barrera para ver el número de teléfono real ayudará a mantener honestas a las personas honestas .

  

debería ser bastante fácil recuperar un número de teléfono de su hash

Fácil es un término relativo. Es cierto que esta configuración de hash no puede ayudar mucho contra un atacante determinado que está dispuesto a realizar el crackeo de hash. Pero también hay que pensar en el 99% de otros empleados con acceso a los datos que ni siquiera saben qué es un hash, y mucho menos cómo descifrarlos.

    
respondido por el ryanyuyu 16.03.2018 - 19:07
fuente
6

El punto es no almacenarlos en texto plano.

Eso es probablemente bastante. Como D.W. señaló en sus comentarios, que la respuesta de Benoit, le dice su razón por qué almacenan números de teléfono y que los tienen. ProtonMail no le dice a por qué que los hash. Solo podemos especular sobre esto, hasta que un empleado de ProtonMail nos diga la razón exacta.

La razón más probable es (en mi opinión) es la siguiente:

ProtonMail es una empresa cuyo modelo de negocio completo se basa en productos seguros y en la protección de la privacidad de un cliente. Si te dijeran que guardaron números de teléfono en texto simple, sería bastante raro. Hashearlos tiene mucho más sentido en ese sentido, ¿no te parece?
Por otro lado, ProtonMail no vincula los hashes de números de teléfono a los perfiles de usuario, los vacían regularmente y, como usted mismo lo indicó, no hay mucho que ganar con un número de teléfono.

Hashing números de teléfono si tienen que almacenarlos es mejor que no hash. Por eso lo hacen.
¿Fortalece mucho la seguridad? No.
¿Es mejor que almacenarlos en texto plano? Sí.

    
respondido por el Tom K. 16.03.2018 - 11:04
fuente
0

Hay dos razones para almacenar números de teléfono con hash, uno es útil y el otro no es:

1) Permitir verificar al usuario. Aquí es útil un hash lento salado. Si bien el número de teléfono de forzado brutal es más rápido que una contraseña, aún proporciona seguridad adicional.

2) Pretenda proporcionar una búsqueda más segura (es decir, en varios de los competidores de Whatsapp). Aquí no puede omitir el hash, ya que no podrá buscar el hash cuando solo sepa el número de teléfono. Esto significa que es fácil crear una tabla de arco iris, ya que el espacio de búsqueda de hashes sin sal es realmente pequeño.

Tenga en cuenta que 1) todavía proporciona una prueba de existencia fácil cuando tiene la base de datos. Hash su número de teléfono con todas las sales utilizadas en la base de datos y búsquelo. Si está almacenado allí, lo encontrarás.

    
respondido por el allo 16.03.2018 - 10:29
fuente

Lea otras preguntas en las etiquetas