Quanto sono sicure le password con hash che vengono anche salate?

Il sale non protegge dagli attacchi di forza bruta perché il sale viene solitamente conservato adiacente all'hash in testo chiaro, quindi non aggiunge ulteriore entropia (sconosciuta). Il sale è una mitigazione contro attacchi da tavolo arcobaleno .

La protezione contro la forza bruta è fornita dall'algoritmo di hash stesso. L'algoritmo hash dovrebbe essere lento in modo che un attacco di forza bruta richiede un tempo imprecisato.

Inoltre, il "pepe" crittografico aggiunto al testo in chiaro + sale può rendere più difficile l'attacco di forza bruta perché rende impossibile l'attacco di un dizionario. D'altra parte, se l'hacker ha accesso alla tabella DB con gli hash e i sali, può anche avere accesso al pepe.

Se il sistema SAP utilizza pepe, la lunghezza della password non è importante, perché il pepe sarà comunque più lungo della password. In caso contrario, le password più brevi sono effettivamente più vulnerabili in quanto l'attacco di forza bruta controllerà prima le password più corte.

Maggiori informazioni su sale e pepe qui e qui .

Un sale può rendere il forcing brutale molto più a lungo. Supponendo che l'hacker abbia solo hash, dovrà scoprire l'algoritmo hash e il salt. A volte puoi dire all'hash algo usato guardando l'hash o almeno restringendolo. Il prossimo è trovare il sale. Di solito un hacker ha probabilmente molti hash. Puoi supporre che un utente abbia la password chiamata "password" o che l'hacker abbia creato il proprio account in modo che conosca la password e inizi ad accodare un sale finché non si ottiene una corrispondenza. È preferibile disporre di password salt per password per rendere questo processo più complicato, sebbene possano concentrare tutte le risorse sull'hash di un amministratore.