Salvataggio delle password decrittive per un utilizzo successivo

Question

Salvataggio delle password decrittive per un utilizzo successivo

#1 da (2 voti)
#2 da (2 voti)

0

Sono in una situazione in cui devo calcolare un hash del risultato della password in testo semplice più alcuni caratteri casuali che rappresentano una sessione. L'hash ottenuto verrà confrontato con un altro hash ricevuto dall'avversario. Il problema è che ottengo solo l'hash completo dall'avversario che può solo essere rigenerato (o ricostruito) con la password in testo semplice.

Qual è la migliore pratica in questa situazione? Ho pensato ad un algoritmo come AES per il salvataggio delle password in una memoria persistente per decrittografarlo in seguito, ma dal momento che sto operando con le password di testo normale, potrebbe non essere molto sicuro e un altro aspetto sarebbe il fatto che io gestisco con informazioni sensibili a questo punto. Anche la salatura sembra impossibile.

hash aes

posta 0x8BADF00D 18.07.2014 - 23:44

fonte

2 risposte

Leggi altre domande sui tag hash aes

C'è qualcosa di simile ai generatori pseudocasuali, ma nella direzione opposta? Attacco man-in-the-middle con wifi pubblico

score 2 · Answer 1

Gli hash non sono pensati per essere invertiti, quindi non è possibile utilizzare un algoritmo hash per proteggere una password e vedere il testo in chiaro più tardi.

Quello che puoi fare è utilizzare algoritmi di crittografia appropriati o chiavi pubbliche e private per crittografare e decrittografare le password, ad esempio PGP.

score 2 · Answer 2

Vorrei che altamente ti raccomandi di ridisegnare la tua soluzione per poter utilizzare un hash, piuttosto che lavorare con qualcosa di diverso da un hash unidirezionale.

Se hai assolutamente bisogno di lavorare con la password in chiaro, dovrebbe essere crittografato usando una libreria di alto livello come NaCl ( link ). La crittografia simmetrica rispetto a chiave pubblica sarà una funzione dei limiti di affidabilità.

Voglio sottolineare che questa è una pessima soluzione . È molto facile rovinare un crittosistema, anche con una libreria di alto livello. Crypto è come WarGames: l'unico modo per vincere è non giocare.