Shash6 Sha256 + GUID segreto + RNGCrypto numero casuale alle password hash

Naviga le tue risposte
0

Gestisco un sito Web che utilizza l'hashing Sha256 delle password.

Le password vengono sottoposte a hash con una chiave GUID e un RNGCrypto generato salt random.

Sto solo cercando di capire i rischi per la sicurezza associati a questo schema.

Se un utente malintenzionato è in grado di ottenere solo le password con hash, esiste un modo in cui possono essere forzate brute o è necessario accedere anche al GUID segreto sul server?

Devo raccomandare al mio cliente di passare a uno schema di hashing più lento?

    
posta user1751825 17.08.2018 - 09:04
fonte

2 risposte

3

Se lo Sha256 viene usato con solo 1 ripetizione, allora dovresti raccomandare di passare ad una funzione di hash della password dedicata, in ogni caso, BCrypt, SCrypt, Argon2 e PBKDF2 sono buone scelte.

Il problema con l'utilizzo di SHA- * è la sua solidità, l'hardware comune può forzare su 3 Giga SHA-256 al secondo . Salting and peppering (il GUID) sono buone misure, ma proteggono da diverse minacce.

Hai ragione nell'assumere che un utente malintenzionato abbia bisogno del GUID dal server, ma dipende dall'attacco, se questo GUID rimane segreto. On dovrebbe pianificare il caso, che tutte le informazioni necessarie siano note e quindi la lentezza della funzione hash è l'unica protezione rimasta.

    
risposta data 17.08.2018 - 09:29
fonte
1

Dal mio punto di vista l'unica preoccupazione che vedo è l'attacco di forza bruta, tuttavia ci sono alcuni fattori da tenere in considerazione.

  1. Se crei uno sha256 ("questa è la password1234") questo genererà hash1 che può essere forza bruta e l'hacker otterrà "questa è la password1234", quindi potremo vedere la password esatta .

  2. Se usi uno sha256 ("questa è la password1234" + tasto + sale ....), l'attacco dettato mi renderà più difficile trovare la password, se questa è la tua preoccupazione. Quindi sceglierò questo metodo, ma prendo in considerazione che la gestione della password utente è più complessa della prima.

risposta data 17.08.2018 - 09:28
fonte

Leggi altre domande sui tag

Ho usato una VPN di lavoro sul mio personal computer a casa mentre facevo ... cose "non lavorative" ... sono nei guai / possono vedermi? Qual è la differenza tra RFI / LFI e SSRF?