Sales de contraseña de ingeniería inversa

Question

Sales de contraseña de ingeniería inversa

#1 de Adi (7 votos)

6

Permite establecer un escenario, se ha volcado una base de datos y se han eliminado todas las contraseñas.

Observa que algunos usuarios parecen haberse registrado dos veces y tienen el mismo hash. Usted ejecuta estos hashes a través de su programa de craqueo de hash y no aparece nada, presumiblemente porque están salados y usted no tiene la sal. Pero debido a que los usuarios tienen el mismo hash en 2 cuentas, Salt no involucrará ningún valor aleatorio, ¿correcto?

Si el sitio aún era vulnerable y usted pudo crear su propia cuenta y recuperar su propio hash, ¿podría aplicar ingeniería inversa al Salt dado que conoce la contraseña con la que se registró?

hash salt reverse-engineering

pregunta user32045 15.10.2013 - 18:57

fuente

1 respuesta

Lea otras preguntas en las etiquetas hash salt reverse-engineering

Usando skype para un ataque cómo ver los privilegios de extensión en Firefox

score 7 · Accepted Answer

Sin tener en cuenta las colisiones, dos usuarios que tienen el mismo valor hash significa que ambos tienen la misma contraseña, sal y pimienta. En consecuencia, esto generalmente significa una de dos cosas

El sitio utiliza una sal fija para todos los usuarios: esto convierte el esquema en una combinación de hashing de contraseña solo de pimienta (la "sal" está en el código). Por medio de la fuerza bruta, y mediante el conocimiento de una contraseña de texto simple, puede averiguar el valor de dicha "sal".

Esto, por supuesto, se puede hacer registrando otra cuenta de su elección e intentando hacer bruta-froce algo como hash(password + X) , siendo X el valor que desea averiguar, y luego comparando la salida con la hash extraído después de crear su nueva cuenta.

Un sitio que haga algo tan estúpido como usar una sal codificada (solo con pimienta) probablemente usará algo como MD5 o SHA-1, lo que hará que tu ataque de fuerza bruta sea mucho más rápido.
El sitio utiliza sales no únicas derivadas de cierta información del usuario: (nombre de usuario, correo electrónico, etc.) que puede encontrar por medio de la fuerza bruta.

Dado que la base de datos que extrajo no contenía sales, es muy probable que sea el caso # 1.

Nota: solo porque no se encontró un hash duplicado en las tablas del arco iris, eso no significa que sea una contraseña fácil. Puede ser el mismo usuario con dos cuentas que usan la misma contraseña segura.