Supponiamo che conosca un sito Web che utilizza BCrypt con sali e il ciclo predefinito di 10. Posso fare un attacco di dizionario tagliando tutte le parole usando BCrypt con gli stessi parametri?
Sì, puoi. bcrypt, (e altre funzioni di hashing della stessa password lente) non sono progettati per rendere impossibile ciò, ma solo per renderlo proibitivamente costoso. Le password deboli sono ancora suscettibili di essere scoperte, ma la quantità di lavoro che un utente malintenzionato deve fare aumenta notevolmente e, rispetto a una funzione di hash veloce, le password molto più deboli diventano impossibili da decifrare a causa del lavoro extra richiesto per ogni ipotesi.
Leggi altre domande sui tag cryptography hash bcrypt