Posso sapere in qualche modo se l'hash della mia password è noto?

3

C'è un modo sicuro per sapere se l'hash della mia password è pubblicamente noto su Internet? Per prima cosa ho provato a cercarlo in Hash.org ( link ), ma poi ho sospettato, che se non trova il mio hash, quindi si aggiungerà all'elenco sconosciuto e sarà rotto. Ho contattato Hashes.org e hanno confermato che in effetti funziona come scritto sopra. Sto cercando di usare come password sicure il più possibile (e conveniente), ma se l'hash incrinato è già lì fuori, allora non importa. Grazie per il tuo aiuto in anticipo.

    
posta András Geiszl 04.10.2015 - 19:26
fonte

1 risposta

3

Se la tua password è memorizzata correttamente, viene memorizzata facendo un hash della password e . Anche se un cracker che viola il sistema su cui hai creato un account può quasi certamente ottenere il sale se riesce a ottenere l'hash, un attacco di durata non banale blocca gli attacchi pre-calcolo e costringe l'attaccante ad attaccare ogni password separatamente. Un algoritmo hash opportunamente lento rende gli attacchi su una singola password difficili, a condizione che la password sia abbastanza strong da non essere in un dizionario né vulnerabile agli attacchi euristici.

Quindi, per una password correttamente memorizzata , l'hash della password da sola è essenzialmente inutile per un utente malintenzionato. (Ovviamente, molti siti non memorizzeranno le password correttamente, ma non si può fare altro che evitare il riutilizzo della password.)

C'è molto di più sulla salatura qui: link

Modifica: ho eseguito il seguente esperimento con hashes.org. Ho prima calcolato l'hash MD5 di "love", una password tristemente comune. È stato trovato su hashes.org, come previsto. Ho quindi calcolato l'MD5 di "love" concatenato con "315379008", un numero casuale a 32 bit. Come previsto, è stato trovato non . Un vero sistema di password userebbe un hash molto più lento di MD5 e un sale molto più lungo di 32 bit, ad esempio 128 bit, riducendo ulteriormente le possibilità di trovare un hash precalcolato, anche per un password molto comune (Naturalmente, "amore" è ancora una password terribile, anche se correttamente salata, perché cadrà sull'attaccante che ha accesso al sale. hai bisogno di una password complessa.)

    
risposta data 04.10.2015 - 19:34
fonte

Leggi altre domande sui tag