C'è un modo per un "hacker" di conoscere la lunghezza della password e se hai usato numeri o simboli

0

Capisco che si possa rendere una password più sicura aumentando la sua lunghezza e aggiungendo numeri e simboli poiché si aumenta il numero di possibilità che un hacker dovrebbe esercitare. Tuttavia, saprebbe in anticipo la lunghezza della password e se hai usato numeri o simboli? O lo scoprirà solo lentamente mentre la sua macchina bruta si fa da parte?

    
posta Esteban 27.10.2016 - 00:41
fonte

3 risposte

4

Anche le routine di hash più deboli come MD5 non rivelano la lunghezza o la diversità dei caratteri nella tua password finché non viene trovato l'hash corrispondente.

Questo grazie a qualcosa chiamato Effetto valanghe degli hash crittografici.

Ciò vale ancora di più per gli hash forti. L'autore dell'attacco non ha alcun indizio sulla password fino a quando la forza bruta non trova una corrispondenza.

È importante che lo sviluppatore utilizzi un sale unico per utente, in modo da evitare l'uso di tabelle Rainbow preesistenti.

    
risposta data 27.10.2016 - 00:47
fonte
1

Il modo in cui le password vengono memorizzate in questi giorni fa attenzione a non rivelare nulla all'attaccante. La forma memorizzata della password ha una lunghezza fissa, e anche il proprietario del sistema non può trovare la password originale che produce questa rappresentazione a lunghezza fissa - in teoria, l'unico modo per scoprire se si ha la password corretta è di inserirlo ed essere effettuato l'accesso.

Un attacco di dizionario a forza bruta tenta ogni possibile password, a partire dalla stringa vuota, ogni stringa di 1 carattere, ogni stringa di 2 caratteri, ecc.

Rivelare dettagli sulle password accettabili aiuta gli aggressori a modificare i loro attacchi. Se sanno che la password deve essere lunga almeno 12 caratteri, possono saltare quelle parti dell'attacco dizionario che sono 11 caratteri o meno. Allo stesso modo, se sanno che deve esserci almeno una cifra e un carattere di punteggiatura, possono saltare quelle voci del dizionario che non soddisfano questi criteri. (Tuttavia, questi criteri potrebbero comunque essere utili, perché costringono gli utenti a uscire dal pool di password alfanumeriche anche più superficiali.)

    
risposta data 27.10.2016 - 14:17
fonte
0

come ha dichiarato George Bailey, non è possibile. la pratica sicura per la memorizzazione di una password consiste nell'aggiungere un salt e quindi cancellarlo un numero elevato di volte. non appena viene cancellato per la prima volta un umano non è in grado di dire quali componenti contiene una password, anche se i computer comuni sono abbastanza potenti al giorno d'oggi da poter facilmente decifrare l'intera password in una volta sola se è solo hash una volta. ma non c'è modo di decifrare una password con hash "in parti"

ora la ragione per cui è stata creata in questo modo è perché se sapessi che c'erano, ad esempio, cinque numeri e tre lettere nella password, potresti usare questo per decifrare la password. Come ? ci sono script che possono generare una lista estremamente lunga di ogni combinazione possibile di cinque numeri e tre lettere, e quindi si può usare un altro script che tenta ogni password nell'elenco generato fino a quando non viene violato.

    
risposta data 27.10.2016 - 13:21
fonte

Leggi altre domande sui tag