È possibile trovare CryptoKey dalla password originale e password hash?

Le funzioni di hash sono generalmente irreversibili, quindi se ti aspetti di applicare una funzione "hash inversa" alle password con hash per ottenere le password normali / originali, non è possibile.

Se vuoi ottenere la chiave, la soluzione possibile è applicare un attacco di "forza bruta" (se non sei a conoscenza della forza bruta, significa semplicemente applicare tutte le chiavi possibili). Dovrai usare del software per questo perché non puoi provare manualmente questo. Devi conoscere almeno la dimensione / lunghezza del vecchio CryptoKey in modo che tu possa provare tutte le combinazioni possibili per quella dimensione della chiave.

Un'altra opzione è di analizzare le password hash disponibili applicando le tecniche di analisi della frequenza o gli attacchi di dizionario. Questo può funzionare se non hai aggiunto alcun sale alla chiave durante l'assunzione di hash.

Non conosco la particolare implementazione di CryptoKey in WebsitePanel, ma quando è implementata correttamente non è possibile utilizzare il database. Il modo corretto per memorizzare le password è in un formato salato e con hash. Tuttavia, le password deboli possono ancora essere forzate brutalmente dall'attaccante. Lo scopo di CryptoKey è quello di rendere gli attacchi di forza bruta contro quelle password deboli incredibilmente difficili. Tuttavia, tieni presente che non conosco i dettagli particolari e questa è solo una buona ipotesi. Solitamente tali chiavi sono chiavi di crittografia simmetriche con lunghezze ben oltre l'intervallo di forza bruta. Pertanto, senza sapere molto sul particolare sistema utilizzato da WebsitePanel, immagino che non ci sia altra opzione che resettare le password .