Ha senso modificare una password con hash? [duplicare]

6

Mi sono sempre chiesto se sarebbe stato sensato inserire caratteri falsi in una password con hash?

Ad esempio questa è la mia password: 1234

e dopo aver cancellato la password, questo è il risultato: abcd

Quindi aggiungi caratteri alla password con hash: aKbjczdx (ogni secondo carattere è falso)

Questo avrebbe senso?

    
posta qwqweqwe 06.03.2014 - 16:19
fonte

3 risposte

16

C'è una regola di base quando si considerano le password di hashing e altri segreti all'interno di un'applicazione:

The attacker knows everything the application knows.

Quindi in questo caso, non ottieni nulla, dal momento che l'utente malintenzionato può semplicemente rimuovere la tua offuscazione e quindi andare a violare le password direttamente. Lo stesso vale per:

  • "segreto" sali
  • Algoritmi di hashing personalizzati
  • crittografia reversibile

Non perdere tempo qui. Ottieni un algoritmo di hashing della password standard, best practice (bcrypt, scrypt, PHPass, PBKDF2) e dedica il tuo tempo a proteggere la tua applicazione.

    
risposta data 06.03.2014 - 16:47
fonte
6

No, non avrebbe senso.

Quando l'attaccante sa che ogni secondo personaggio è falso, non lo rallenterebbe affatto.

Qualsiasi misura di sicurezza che si basa sull'attaccante non sapendo come funziona il tuo sistema è sicurezza attraverso l'oscurità , che è un anti -modello. Un sistema è sicuro solo quando è protetto contro qualcuno che sa esattamente come funziona.

    
risposta data 06.03.2014 - 16:46
fonte
0

A molte risposte sembra mancare il punto, come presumo che quando dici

and this is my hash: abcd

Stai già utilizzando un algoritmo di hash sicuro e accettato, invece di fare semplicemente confusione. In questo caso direi che qualche offuscamento degli hash che aggiungono sicurezza spesso solo i database vengono scaricati senza il codice e in quei casi - e solo in quei casi - una regola aggiuntiva che viene applicata all'hash lo renderà a lotto più difficile da capire cosa sta succedendo e quale algoritmo di hashing è stato utilizzato.

Ovviamente è meglio assicurarsi che il database non venga rubato in primo luogo, ed è probabile che una volta che un utente malintenzionato abbia accesso a un database, avrà anche accesso al codice, ma rendendo irriconoscibile un hash sarebbe fai in modo che un bel po 'di quegli hacker di script-kiddie si arrendano.

Tutto sommato, consiglierei di farlo? Nope , non proprio. Usare un buon algoritmo di hashing e salare le tue password dovrebbe essere più che sufficiente, ma in risposta alla tua domanda: sì, rende sensato alcuni , non importa quanto poco.

    
risposta data 07.03.2014 - 02:04
fonte

Leggi altre domande sui tag