Si tratta di un'applicazione web in cui un utente deve accedere con la propria email personale come ID e una password che ha scelto personalmente.
Se un utente malintenzionato in qualche modo ha ottenuto l'accesso a un archivio di credenziali con un elenco di tutti gli hash PBKDF2 con gli indirizzi email, in che misura potrebbe essere utilizzato maliziosamente?
L'utente malintenzionato dovrebbe rompere gli hash per ottenere le password originali. Dal momento che PBKDF2 esegue più iterazioni della stessa funzione di hash, l'azione di cracking sarebbe molto più lenta. Il risultato finale è che anche le password più deboli sono meno verosimilmente rivelate, portando ad una percentuale significativamente inferiore di password danneggiate con successo nell'elenco delle credenziali.
Supponendo che l'hacker abbia ottenuto i sali e gli hash, è possibile eseguire un elenco di password precedentemente utilizzate contro l'elenco di hash e ottenere le password della maggior parte degli utenti, poiché la maggior parte degli utenti utilizza password il cui testo normale è già stato compromesso da qualche parte Non sono riusciti a recuperare le password lunghe e ben scelte che non sono mai state utilizzate prima.
Leggi altre domande sui tag cryptography passwords hash pbkdf2