Riutilizzo del valore hash della password sul server da parte di un attore malintenzionato

1

Supponiamo che Alice abbia effettuato l'accesso al link con la sua email e password:

Email: [email protected]

Password: correctHorseShoeBattery

Nonce given by the server: 123139897120148130481041

Salt given by the server: testafaaafadfm123

     

ESEMPIO di PBKDF2 Hash di password concat con nonce insieme a salt prodotto sul browser lato client: 570DE37EB907202E9C96F

Le mie domande sono

  1. Il calcolo dell'hash della password di Alice concat con nonce & sale sempre eseguito dal lato client?

  2. Un altro utente come Eve non sarebbe in grado di utilizzare WireShark per annusare il valore dell'hash e riutilizzarlo per ottenere l'accesso? Oppure avere il nonce aiuta a impedirlo?

  3. Poiché è HTTPS , Eve è ancora in grado di annusarlo? Poiché tutto sembra offuscato, a differenza di HTTP in cui Eve può CTRL + F campo password.

  4. L'accesso sarebbe concesso solo se il valore hash prodotto dall'utente == l'hash memorizzato nel database del server. Se Allora, come può il server verificare l'hash PBKDF2 di (password concat nonce insieme a salt) quando il database del server al momento della registrazione di Alice memorizza solo l'hash della password e sale al momento della registrazione? Semplicemente non corrispondono perché l'hash del server non ha il valore nonce.

Penso che mi manchi qualcosa e qualcuno può illuminarmi, per favore. Qual è lo standard del settore e fa ciò che ho appena descritto corrisponde al tipico processo di accesso?

    
posta Killney 17.05.2018 - 12:14
fonte

0 risposte

Leggi altre domande sui tag