per esempio, in qualsiasi sito web (WORDPRESS o ecc.) memorizzano le password nel database, usando il mehtod SALT (come so) ... ad esempio:
$P$dfwegfwegewgIT03.wewefefweg
Se l'hacker ha questa password e nome utente, può rilevare una password reale? in breve, se l'hacker conosce qualche valore nel database e il mio FTP (ma la vera password non viene memorizzata da nessuna parte), può inserire il ftp?
Prima di tutto: l'hash salato generalmente contiene solo la password, non il nome utente, ma in genere sono quasi archiviati.
Sarà quindi in grado di lanciare un attacco forza bruta offline, cercando di trovare la password che lo genera stesso hash usando lo stesso sale.
Questo tentativo può essere basato sulla ricerca basata sul dizionario o sull'esaurimento.
Inoltre, per poter accedere, è necessario avere almeno 3 informazioni:
Se ha già l'indirizzo ftp e la password, deve ancora scoprire il nome utente. È possibile utilizzare la stessa tecnica per fare diversi tentativi fino a quando non trova un nome utente che utilizza la password conosciuta nelle sue credenziali.
L'utilizzo di SALTING impedisce solo ad altri account con la stessa password di avere lo stesso hash, cosa che avvisa prontamente l'hacker degli utenti che condividono la stessa password.
Leggi altre domande sui tag passwords