Le frasi di sicurezza devono essere sottoposte a hash?

2

Non ci avevo pensato prima, ma oggi mi sono appena reso conto che nei siti di supporto, il ripristino di pw è possibile se si conoscono le risposte a domande di sicurezza come

Qual è il nome da nubile di tua madre?

In questo caso, le risposte alle domande di sicurezza dovrebbero essere sottoposte a hash o no?

    
posta Dan 10.08.2014 - 16:17
fonte

2 risposte

3

dipende da come pensi di usare le risposte.

Se si prevede di eseguire controlli automatici rigorosi, considerarli come password e applicare funzioni di derivazione chiave come bcrypt / scrypt. (Ricorda però che BCrypt utilizza solo i primi 72 caratteri di stringa per l'hash è abbastanza per il tuo caso?)

d'altra parte, se esiste una possibilità di supporto telefonico e si desidera che gli operatori di chiamata interpretino le risposte degli utenti è necessario archiviare le stringhe così com'è

P.S. usare semplici hash-funzioni (come md5, sha) non è la risposta a questo problema in ogni caso

    
risposta data 10.08.2014 - 17:37
fonte
0

Dal punto di vista di avere una risposta così semplice come il nome di una madre protetta, ad esempio, dal lato del server web - le risposte sono probabilmente cancellate da lì.

La stessa storia è per la tua macchina locale, per la quale la password dell'amministratore, anche se così semplice, come il nome della madre, viene mantenuta anche in forma di hash.

Quindi, mantenere l'hash al posto della password protegge quest'ultimo, tuttavia se è così semplice come il nome di una madre è rischioso essere hackerato da entrambi: Dictionary Attack e Brute Force Attack.

    
risposta data 11.08.2014 - 07:31
fonte

Leggi altre domande sui tag