¿Tiene sentido modificar una contraseña con hash? [duplicar]

6

Siempre me he preguntado si tendría sentido poner caracteres falsos en una contraseña con hash.

Por ejemplo, esta es mi contraseña: 1234

y después de hashear la contraseña, este es el resultado: abcd

Luego agregue caracteres a la contraseña con hash: aKbjczdx (cada segundo carácter es falso)

¿Esto tendría algún sentido?

    
pregunta qwqweqwe 06.03.2014 - 16:19
fuente

3 respuestas

16

Hay una regla básica cuando se consideran las contraseñas de hash y otros secretos en una aplicación:

  

El atacante sabe todo lo que sabe la aplicación.

Entonces, en este caso, no gana nada, ya que el atacante simplemente puede eliminar su ofuscación y luego tratar de descifrar sus contraseñas directamente. Lo mismo ocurre con:

  • sales "secretas"
  • algoritmos de hash personalizados
  • cifrado reversible

No pierdas tu tiempo aquí. Obtenga un algoritmo estándar de hash de contraseña de mejores prácticas (bcrypt, scrypt, PHPass, PBKDF2) y dedique su tiempo a proteger su aplicación.

    
respondido por el bonsaiviking 06.03.2014 - 16:47
fuente
6

No, no tendría sentido.

Cuando el atacante sabe que cada segundo personaje es falso, no los ralentizará en absoluto.

Cualquier medida de seguridad que dependa de que el atacante no sepa cómo funciona tu sistema es seguridad a través de la oscuridad , que es un anti -modelo. Un sistema solo es seguro cuando es seguro contra alguien que sabe exactamente cómo funciona.

    
respondido por el Philipp 06.03.2014 - 16:46
fuente
0

Muchas de las respuestas parecen faltarte en tu punto, como supongo que cuando dices

  

y este es mi hash: abcd

Ya estás usando un algoritmo de hashing seguro y aceptado, en lugar de solo hacer una ofuscación pura. En este caso, argumentaría que algunos ofuscaciones de hash que agregan seguridad, ya que a menudo solo las bases de datos se vuelcan sin el código y en esos casos, y solo en esos casos, una regla adicional que se aplica al hash hará que sea un mucho es más difícil averiguar qué está sucediendo y qué algoritmo hash se ha utilizado.

Por supuesto, es mejor asegurarse de que la base de datos no sea robada en primer lugar, y es probable que una vez que un atacante tenga acceso a una base de datos también obtenga acceso a su código, pero hacer un hash irreconocible haz al menos muchos de esos piratas informáticos que los hackers abandonan.

En general, ¿te aconsejaría que lo hicieras? No , en realidad no. Usar un buen algoritmo de hash y compartir sus contraseñas debería ser más que suficiente, pero en respuesta a su pregunta: sí tiene sentido , no importa cuán pequeño sea.

    
respondido por el David Mulder 07.03.2014 - 02:04
fuente

Lea otras preguntas en las etiquetas