Come verificare 2 valori hash con diversi sali provenienti dalla stessa password in chiaro?

Naviga le tue risposte
0

Ho un progetto in cui ho bisogno di unire un account su due siti web.

Alcune percentuali di utenti hanno account su entrambi i siti (stesso indirizzo email). Piuttosto che ipotizzare che due account con lo stesso indirizzo email abbiano la stessa identità, vorremmo fare un ulteriore passo avanti e confrontare gli hash delle password.

Entrambi i siti web si trovano sulla stessa piattaforma eCommerce, solo 2 siti con marchi diversi che stiamo consolidando in uno. La funzione di hashing è la stessa su entrambi i siti (SHA256), tuttavia utilizziamo SALI diversi su ciascun sito.

Ad esempio:

SITO # 1
password (1) = Ciao
salt (1) = abc123
hash (1) = 1a1A1a1A1a1A

SITO2
password (2) = Ciao
sale (2) = xyz456
hash (2) = 2b2B2b2B2b2B

Dato solo salt (1), hash (1), salt (2), hash (2), è possibile verificare che quella password (1) e la password (2) siano le stesse? non ho bisogno di decifrare, ho solo bisogno di confermare che le due password sono le stesse?

    
posta user174182 28.03.2018 - 16:24
fonte

2 risposte

5

Non puoi. Questo è il punto di un sale.

Se potessi dire che due password con diversi sali erano uguali, allora gli attacchi usando gli hash precalcolati sarebbero ancora possibili, e i sali sarebbero piuttosto inutili.

Avresti bisogno della password originale per verificare che entrambi gli hash salati siano derivati dalla stessa password.

    
risposta data 28.03.2018 - 16:38
fonte
2

Il design del sistema è che non puoi farlo senza conoscere la password originale. L'obiettivo della sicurezza è che non è possibile testare una password più velocemente dell'hash. Se riesci a fare un'equivalenza tra i due più veloce dell'hashing, allora hai un modo per capire la password più veloce di quella di hashing.

Come commento aggiuntivo, spero che gli hash siano unici per utente, non unici per i siti

    
risposta data 28.03.2018 - 16:38
fonte

Leggi altre domande sui tag

Usando una tastiera QWERTY con uscita DVORAK, il keylogger potrebbe registrare DVORAK? I file .crt e .key contengono informazioni sensibili?