Sali password di reverse engineering

Naviga le tue risposte
6

Consente di impostare uno scenario, un database è stato scaricato e tutte le password sono sottoposte a hashing.

Si nota che alcuni utenti sembravano essersi registrati due volte e avere lo stesso hash. Esegui questi hash attraverso il tuo programma di cracking di hash e nulla viene fuori, presumibilmente perché sono salati e non hai il sale. Ma poiché gli utenti hanno lo stesso hash su 2 account, il sale non coinvolgerà alcun valore casuale, corretto?

Se il sito fosse ancora vulnerabile e tu fossi in grado di creare il tuo account e recuperare il tuo hash personale, saresti in grado di decodificare il sale, dato che conosci la password con cui ti sei registrato?

    
posta user32045 15.10.2013 - 18:57
fonte

1 risposta

7

Ignorando le collisioni, due utenti con lo stesso valore di hash significa che entrambi hanno la stessa password, sale e pepe. Di conseguenza, questo di solito significa una delle due cose

  1. Il sito utilizza un sale fisso per tutti gli utenti: Questo esegue il rendering dello schema su uno schema di hashing delle password solo pepe (il "salt" è nel codice). Per mezzo della forza bruta, e utilizzando la conoscenza di una password in chiaro, è possibile scoprire il valore di detto "sale".

    Questo, naturalmente, può essere fatto registrando un altro account di tua scelta e tentando di eseguire il brute-froce qualcosa come hash(password + X) , con X come valore che vuoi scoprire e quindi confrontando l'output con il hash che hai estratto dopo aver creato il tuo nuovo account.

    Un sito che fa qualcosa di così stupido come usare un sale hardcoded (solo pepe) probabilmente userà qualcosa come MD5 o SHA-1, che renderà il tuo attacco a forza bruta molto più veloce.

  2. Il sito utilizza sali non unici derivati da determinate informazioni dell'utente: (nome utente, email, ecc.) che puoi scoprire tramite la forza bruta.

Poiché il database estratto non conteneva sali, probabilmente è il caso numero 1.

Nota: solo perché non è stato trovato un hash duplicato nelle tabelle arcobaleno, ciò non significa che sia una password facile. Potrebbe essere lo stesso utente con due account che utilizzano la stessa password complessa.

    
risposta data 15.10.2013 - 19:15
fonte

Leggi altre domande sui tag

L'uso di dispositivi GPS può diffondere informazioni personali identificabili? Uso di skype per un attacco