Se sono un utente malintenzionato e ho appena filtrato il database utente basato sul Web tramite SQL injection (incluso il sale per utente) e desidero scegliere come target UNA password di interesse, quali sono i passaggi forniti:
- Ho una quantità infinita di tempo per aspettare
- Ho la CPU più veloce disponibile
(I.E Non mi interessa il modo migliore per farlo, voglio solo sapere come farlo in questo modo)
Sembra:
- Identifica la password "hashing" algo (bcrypt / scrypt / argon2)
- Identifica il sale associato alla password con hash di interesse
- Identifica il numero di cicli di hashing utilizzati. (come fare?)
- Finalmente esegui questa operazione tramite una sorta di generatore / programma di tabelle arcobaleno per creare la tabella di ricerca.
Sono lontano qui?