Mi sono sempre chiesto se sarebbe stato sensato inserire caratteri falsi in una password con hash?
Ad esempio questa è la mia password: 1234
e dopo aver cancellato la password, questo è il risultato: abcd
Quindi aggiungi caratteri alla password con hash: aKbjczdx (ogni secondo carattere è falso)
Questo avrebbe senso?
C'è una regola di base quando si considerano le password di hashing e altri segreti all'interno di un'applicazione:
The attacker knows everything the application knows.
Quindi in questo caso, non ottieni nulla, dal momento che l'utente malintenzionato può semplicemente rimuovere la tua offuscazione e quindi andare a violare le password direttamente. Lo stesso vale per:
Non perdere tempo qui. Ottieni un algoritmo di hashing della password standard, best practice (bcrypt, scrypt, PHPass, PBKDF2) e dedica il tuo tempo a proteggere la tua applicazione.
No, non avrebbe senso.
Quando l'attaccante sa che ogni secondo personaggio è falso, non lo rallenterebbe affatto.
Qualsiasi misura di sicurezza che si basa sull'attaccante non sapendo come funziona il tuo sistema è sicurezza attraverso l'oscurità , che è un anti -modello. Un sistema è sicuro solo quando è protetto contro qualcuno che sa esattamente come funziona.
A molte risposte sembra mancare il punto, come presumo che quando dici
and this is my hash: abcd
Stai già utilizzando un algoritmo di hash sicuro e accettato, invece di fare semplicemente confusione. In questo caso direi che qualche offuscamento degli hash che aggiungono sicurezza spesso solo i database vengono scaricati senza il codice e in quei casi - e solo in quei casi - una regola aggiuntiva che viene applicata all'hash lo renderà a lotto più difficile da capire cosa sta succedendo e quale algoritmo di hashing è stato utilizzato.
Ovviamente è meglio assicurarsi che il database non venga rubato in primo luogo, ed è probabile che una volta che un utente malintenzionato abbia accesso a un database, avrà anche accesso al codice, ma rendendo irriconoscibile un hash sarebbe fai in modo che un bel po 'di quegli hacker di script-kiddie si arrendano.
Tutto sommato, consiglierei di farlo? Nope , non proprio. Usare un buon algoritmo di hashing e salare le tue password dovrebbe essere più che sufficiente, ma in risposta alla tua domanda: sì, rende sensato alcuni , non importa quanto poco.
Leggi altre domande sui tag passwords password-policy hash