Dichiarazione di non responsabilità: dal punto di vista dell'utente. Assumiamo quindi che il sito Web di destinazione (ad esempio Paypal o Netflix) utilizzi già un algoritmo di hash strong con sali (bcrypt di pbkdf2, ad esempio) e accetta password di 32 caratteri.
Contesto: supponiamo che Bob sia un utente che conosce alcune cose sui computer, ma non è un esperto. Ad esempio, capisce che l'utilizzo di password complesse è una buona cosa, ma non riesce a ricordare una lunga lista di password complicate. Utilizza quindi solo una password sicura su tutti i siti, una pratica che considera rischiosa.
Ma poi lo ha colpito: non deve ricordare password forti! Invece, ricorda semplicemente quelli facili e li ha cancellati con una semplice funzione per ottenere password sicure. In questo modo, non deve preoccuparsi troppo delle violazioni del database, in quanto la sua password memorizzata richiederebbe massicci cluster di GPU per crearsi in un ragionevole lasso di tempo.
Funzionerebbe in questo modo:
- Vai al sito web di destinazione.
- Inserisci il nome utente
- Hash la sua password facile da ricordare con un algoritmo veloce per generare una lunga password
- Inserisci la password con hash e ottieni l'autenticazione dal sito web.
Domanda : sarebbe una buona pratica, o anche accettabile? È qualcosa che potresti consigliare a qualcuno di fare? Perché / perché no?
Questo dipende un po 'da una variante di sicurezza attraverso l'oscurità forse: l'hacker deve solo sapere che una password semplice è stata crittografata con MD5 per renderla inefficace, o addirittura dannosa (perché l'utente tenderà utilizzare le password di pre-crittografia più deboli). In quanto tale, questo non funzionerebbe su larga scala, vale a dire. non potresti dire a milioni di persone di farlo.
Grazie in anticipo per il tuo contributo!