Esiste un modo per accedere con un hash?

Naviga le tue risposte
0

Ho capito che i seguenti passi sono presi quando accedo a un sito: 1. La mia password è hash 2. L'hash viene confrontato con ciò che è memorizzato nel database. 3. Se gli hash sono uguali, posso accedere.

Sono anche abbastanza sicuro che se gli hacker ottengono l'accesso al database delle password, possono usare la forza bruta per trovare le password di testo libero se l'algoritmo di hash è abbastanza debole.

La mia domanda è, esiste un modo per un utente malintenzionato di ignorare il passaggio 1 sopra? Cioè se lui / lei ha ottenuto l'accesso a un elenco di password hash, l'hacker può presentare tale hash al server, aggirando così il passaggio di hashing?

    
posta HenricF 16.07.2014 - 07:48
fonte

2 risposte

3

Questo è generalmente chiamato attacco "Pass-the-hash" .

Se la parte di autenticazione esegue l'hashing stesso e invia hash via cavo, il sistema è probabilmente suscettibile a questo attacco.

La maggior parte delle applicazioni web non lo fa però. Invece inviano la password e il server esegue l'hashing, quindi non c'è modo di inviare hash direttamente.

    
risposta data 16.07.2014 - 08:31
fonte
1

Se un utente accede a un sistema che forza la sua password a passare attraverso un algoritmo di hashing, allora è necessaria la password cleartext. Dal momento che non puoi evitare il passaggio di hashing, non puoi scegliere quali passaggi sono eseguiti e quali no.

L'applicazione web (molto semplificata) fa una: 

$user = lookup_user_in_db($username, md5($password));
if($user != NULL){
  // do other stuff
}

Il valore che invii passerà sempre attraverso la funzione di hashing md5 (), non c'è modo di aggirarlo - a meno che non trovi un bug nell'app web dove c'è una pagina che accede agli hash piuttosto che alla password (per esempio: quando l'hashing del client è terminato).

Detto questo, se l'algoritmo hashing è rotto, o può essere invertito, potresti "derivare" il valore del testo in chiaro dall'hash, ma è improbabile che vengano utilizzati gli standard del settore.

    
risposta data 16.07.2014 - 08:23
fonte

Leggi altre domande sui tag

Vedo una notifica di avviso "sito non verificato" Come decrittografare un file quando ho la sua chiave?