So che bcrypt non cripta, ma quanto sarebbe facile ottenere la password da un hash di bcrypt memorizzato?
Voglio dividere la domanda su bcrypt in 2:
-
Ho letto qui che bcrypt genera casualmente sali per ogni hashing che fa. In che modo 2 differenti "hashing-action" con lo stesso numero di round e la stessa password hanno lo stesso output se bcrypt genera un salt casuale per ogni volta che si esegue un hashing?
-
BCRYPT salva l'hash dell'output, il sale e il numero di round con il tipo di versione dell'algoritmo. L'output sarebbe simile a questo:
$ 2a $ 10 $ vI8aWBnW3fID.ZQ4 / zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa
In pratica hai tutto ciò di cui l'Algoritmo ha bisogno, tranne l'input, ma per questo invece hai l'output. Non sarebbe abbastanza facile decifrare / annullare l'hashing della password al suo stato originale?