Perché 3DES non è utilizzato per memorizzare le password?

2

Sono sicuro che sia ovvio, ma mi stavo chiedendo, qual è il motivo principale per cui la crittografia 3DES non viene utilizzata per memorizzare le password nel database?

La mia comprensione è che 3DES è una crittografia strong? Quindi posso solo pensare che il motivo per cui non viene utilizzato è perché non è crittografato, quindi se il sistema è stato compromesso l'hacker potrebbe trovare la chiave utilizzata per crittografarlo e usarlo per decodificare?

L'altro motivo è la riservatezza delle informazioni, anche il proprietario del database non dovrebbe avere la possibilità di vedere le password degli utenti, poiché spesso sono la stessa password utilizzata ovunque.

Ci sono altri motivi per cui non viene utilizzato? E 'più facile fare brute allora SHA?

NOTA: Non sto usando 3DES, ma la mia azienda lo ha fatto in precedenza. Era solo una domanda per curiosità.

    
posta Cyassin 09.04.2014 - 01:17
fonte

2 risposte

3

I proprietari di siti non dovrebbero avere la possibilità di vedere immediatamente la password di ogni singolo utente (e possibile ogni password che abbia mai usato sul tuo sito) - molti utenti condividono password e non è necessario che entrino nel loro conto bancario.

  • Né devi essere accusato di entrare nel loro conto bancario in base alla password.

Se un utente malintenzionato ottiene in qualche modo l'elenco delle password del database, l'unica cosa di cui hanno bisogno è la chiave di crittografia per ottenere il 100% di tutte le password, quasi istantaneamente, indipendentemente dalla forza della password: "12345" e "abDPZJg2 $ f3e4 ^ po6aB] s67Kbfd;: vIr4} 52Fqa \ ~ Rep ", > ioNuJ" sarà trovato nello stesso tempo (e allo stesso tempo, per scopi pratici). Con password correttamente hash, "12345" rimane senza valore. Tuttavia, anche con l'algoritmo di hash crittografico più debole, quella lunga password casuale sarà una sfida incredibile.

Anche se un utente malintenzionato ottiene l'elenco delle password del database ma non la chiave di crittografia, sarai nei principali siti di sicurezza che ti informano che la tua metodologia è un grave disastro, proprio come Adobe quando hanno fatto trapelare oltre un milione di password crittografate 3DES .

Non crittografare le password. Mettile in hashing, usando una funzione di hashing della password come PBKDF2, BCrypt o SCrypt con un sale casuale di 8-16 byte e un conteggio delle interazioni o un costo / fattore di lavoro elevato come puoi permetterti durante i periodi di punta previsti. Wee Come fare in modo sicuro le password di hash? per ulteriori dettagli.

    
risposta data 10.04.2014 - 06:07
fonte
0

3DES esiste a causa della necessità di un algoritmo di crittografia più potente di DES che potrebbe essere implementato usando l'hardware ottimizzato per i calcoli coinvolti nel DES. È notevolmente più debole rispetto ai cypher come AES (che è stato standardizzato contemporaneamente a 3DES) e algoritmi di hash come SHA-1 (diversi anni prima), e non dovrebbe essere usato se altri cyphers sono un'opzione.

    
risposta data 10.04.2014 - 06:05
fonte

Leggi altre domande sui tag