Devo mantenere segreti i valori hash? [duplicare]

1

Molti sistemi client-server utilizzano le funzioni hash per l'autenticazione della password degli utenti. Utilizzano le password come input di diverse funzioni hash come MD5, SHA-1 ecc. e valori hash di calcolo. Quindi memorizzano i valori hash nel loro database. / p>

Per quanto ne so, se i valori hash sono noti ai cracker, possono provare a recuperare le password tramite attacco a forza bruta, attacco dizionario, cercare tabella e così via.

Voglio sapere se il seguente fatto è vero o meno.

È necessario mantenere segreti i valori hash dai cracker se vogliamo rendere difficile il crack del sistema di autenticazione per i cracker.

    
posta Shahed al mamun 13.02.2017 - 16:13
fonte

1 risposta

1

Sì, è necessario mantenere gli hash segreti.

Per gli utenti con password veramente buone (lunghe e casuali), un hash trapelato potrebbe non essere il peggiore che potrebbe accadere, perché potrebbe essere comunque impossibile decifrare l'hash. Ma per gli utenti con password errate (brevi e non così casuali), un hash trapelato in pratica significherebbe che il loro account è compresso. Chiunque può facilmente forzare la forza brutale Passw0rd! , indipendentemente da quanto sia buona la tua funzione di hash.

L'hashing è un esempio di difesa in profondità - come prima difesa, non vuoi che le tue password siano trapelate, ma nel caso lo siano comunque vuoi che siano hash correttamente per ridurre al minimo il danno.

    
risposta data 13.02.2017 - 16:23
fonte

Leggi altre domande sui tag