È una cattiva idea usare le stringhe codificate in base 64 per le password?

4

Prima di tutto, perdonami se questa sembra una domanda estremamente ingenua e non istruita. Qualsiasi modo, come sopra, è una cattiva idea? Voglio dire, a pensarci, non sembra una cattiva idea. La mia logica è questa:

I siti dovrebbero comunque memorizzare le password in modo sicuro, con sali e hash (e talvolta anche peperoni). Usando una password standard come Password (solo per il sake degli esempi) questo sarebbe salato e sottoposto a hash in un formato molto più "illeggibile" per l'archiviazione quando usato per un account su un sito web. Se fatto come dovrebbe essere, dovrebbe richiedere del tempo a chiunque di decrittografare la password.

Ora se ho base-64 Password in UGFzc3dvcmQ= e poi la uso come mia password - Ho già altri 3 caratteri e poi includo quelli salati e hash - Dovrebbe creare una password hash più sicura? Giusto?

La base 64 alla fine causa una password più sicura? I siti web codifica / decodifica base-64 prima di salatura e hashing?

Ho capito che se qualcuno riesce a ottenere la password DB e ha un elenco di tutti gli hash, e supponendo che riescano a decrittografare la mia password su UGFzc3dvcmQ= , capisco che è una facile supposizione per decodificarlo 64, come una stringa dall'aspetto ovvio.

In definitiva, mi servirà meglio utilizzando la password codificata in base 64 anziché il testo completo in chiaro? Inoltre, cosa succede se eseguo più codifiche aggiungendo caratteri aggiuntivi tra le codifiche? Ad esempio:

password > UGFzc3dvcmQ= > U**E**GFz**n**c3**C**dv**o**cm**d**Q**E**= > VUVHRnpuYzNDZHZvY21kUUU9
    
posta matthew walker 22.12.2016 - 09:49
fonte

3 risposte

5

Tutte le domande del tipo "Questo trucco intelligente renderà la mia password più sicura?" dipende dalla stessa cosa: quali sono le password che l'hacker proverà prima quando il bruto forza l'hash? La persona che ti sta attaccando non è stupida e proverà le cose che hanno più probabilità di succedere prima, e quelle meno probabili più tardi.

A meno che l'autore dell'attacco non sia specificamente mirato a te e sia a conoscenza del tuo schema di codifica, è più probabile che provi la password non codificata prima della password codificata. Quindi in questo senso, questa è una vittoria per te (almeno fino a quando tutti iniziano a farlo e diventa così comune che gli attaccanti iniziano a provare questo genere di cose in anticipo).

Ma è molto pratico? Hai intenzione di memorizzare la stringa codificata? Allora perché non memorizzare semplicemente qualcosa di casuale (e quindi più sicuro)? Utilizzerai un servizio online per codificare la password ogni volta che la usi? Quindi potrebbe essere inviato su HTTP e registrato nei log su Internet, e questo non è molto buono. Quindi hai intenzione di installare qualche software che esegue la codifica localmente? Allora perché non installare semplicemente un gestore di password reale ?

Quindi sì, in senso stretto UGFzc3dvcmQ= è una password migliore di password . Ma no, questo non allevia la necessità di password e gestori di password completamente casuali.

    
risposta data 22.12.2016 - 10:16
fonte
1

Se la tua password è abbastanza complessa, non basata su dizionario ecc. non fa differenza come la ricordi. È come è memorizzato e protetto quello che conta. L'aggiunta di un ulteriore passaggio tramite la codifica B64 non lo renderà più sicuro se il risultato viene quindi memorizzato come hash MD5.

Ciò che stai facendo, però, si sta allontanando dall'usabilità verso la sicurezza con una dose di impraticabilità per l'utente finale. :)

    
risposta data 22.12.2016 - 11:17
fonte
0

Pensaci in questo modo. Quando si sceglie una password per un account su un sito Web, è necessario affidarsi al sito Web per eseguire correttamente il processo di hashing della password. Scegliendo una password debole come "password" e codifica (la codifica non offre alcun vantaggio alle password in testo semplice, qui c'è un sito dove puoi decodificare le stringhe codificate in base 64: link ) è sempre una cattiva idea perché la tua password può essere messa male nel loro database. Quindi, prima scegli una password che sia unica, abbastanza lunga e casuale. Questo tipo di costrutti bizzarri di codifica che aggiungono caratteri e codifica di nuovo non sono assolutamente necessari, il mio consiglio è di usare solo un gestore di password che può generare (e ricordare) una buona password casuale per te.

    
risposta data 22.12.2016 - 10:11
fonte

Leggi altre domande sui tag