Un utente malintenzionato ottiene un elenco di password con hash. Come fa a sapere quando ha incrinato la / e password / i? Non può provare milioni di volte sul conto compresso.
L'attaccante ottiene la password con hash. Come fa a sapere che "pAssword" è la password corretta e non "passwoRd"?
EDIT:
Mi manca così qualcosa di base. Fammi capire che lo capisco:
- Il DBA prende la mia password fantastica (pa $$ word) e la blocca.
- L'attaccante ottiene l'elenco delle password.
- L'attaccante prova "password". Diventa hash. Vede che hash-of-password non è uguale alla mia password. 3a. Prova la parola hash-of-pa $$. Diventa hash e vede che i due sono uguali. Pertanto ha infranto la mia password.
- Dopo un po 'di tempo (x quantità di tempo) ha crackato (diciamo) il 90% delle password e poi si ferma a causa di rendimenti decrescenti. (A meno che non voglia davvero la mia password.)