Se il sale nell'hash è noto a noi, è possibile crackare per estrarre la password dall'hash? Se sì, come?
Le funzioni di hash sono progettate per andare solo in un modo. Se hai una password, puoi facilmente trasformarla in un hash, ma se hai l'hash, l'unico modo per ottenere la password originale è con la forza bruta, provando tutte le possibili password per trovarne una che generi l'hash che avere. Supponendo che il sale sia molto lungo, non sapendo che il sale potrebbe renderlo quasi impossibile da spezzare (a causa della lunghezza aggiuntiva che il sale aggiunge alla password), ma si deve ancora forza bruta anche se si conosce il sale.
Ad esempio, supponiamo che la password sia "segreta" e che il valore sia "535743". Se il sale viene semplicemente aggiunto alla fine della password, quindi l'hash che si sarebbe crackato sarebbe un hash della stringa "secret535743". Senza conoscere l'hash, dovresti provare tutte le possibilità fino a raggiungere "secret535743", che richiederebbe molto tempo a causa della sua lunghezza (tenendo presente che i sali reali sono molto più lunghi di questo).
Ma se sai che il sale è 535743 e che è aggiunto alla fine della password, allora invece di provare tutto, proverai "a535743", "b535743", "c535743", ecc. riduce il numero di possibilità che devi provare fino a raggiungere la stringa corretta.
Detto questo, in genere è abbastanza raro avere una situazione in cui si conosce l'hash ma non il sale poiché entrambi sono solitamente memorizzati nello stesso posto.
Se sai come viene usato il sale quando blocca la frase di testo chiaro, questo rende solo più facile la forza bruta. Il numero di possibilità che devi controllare andrà drasticamente giù, dal momento che devi solo controllare la frase senza il sale. Comunque se è una lunga frase con molti personaggi diversi ci vorrà molto tempo.
Quando la password non è salata, e per esempio viene utilizzata la funzione md5, un potenziale hacker può accedere ai database online e solo una ricerca per una password corretta.
Quando la password viene salata, è necessario forzarla, il che richiede molto tempo. Se l'attaccante non conosce il sale, in pratica è impossibile modificarlo.
Leggi altre domande sui tag hash salt password-cracking