I provider di posta elettronica basati sul Web come Gmail, hotmail codificano le password degli account degli utenti quando li salvano nel loro database? Se lo fanno, perché le informazioni sull'account vengono filtrate dopo un attacco?
I provider di posta elettronica basati sul Web come Gmail, hotmail codificano le password degli account degli utenti quando li salvano nel loro database? Se lo fanno, perché le informazioni sull'account vengono filtrate dopo un attacco?
Non sono crittografati , sono in realtà hash : sono entrambi operazioni di crittografia con la differenza che gli hash sono irreversibili.
Non si può semplicemente "decifrare" un hash della password. Tuttavia, data una password, si può generare un hash per esso.
Se un utente malintenzionato ha ottenuto in qualche modo il contenuto del database degli hash delle password, può quindi pensare a una password casuale, calcolare il suo hash, confrontare questo hash calcolato per verificare se corrisponde a uno degli hash memorizzati nel database. In tal caso, significa che l'autore dell'attacco ha appena indovinato la password corretta per l'utente corrispondente!
Per rendere il processo più veloce, l'attaccante usa due mezzi principali:
Tale processo di solito non consente di ottenere tutte password dai database trapelati, ma permetterà comunque di ottenere molti : tutti i più deboli. Pertanto, se utilizzi una password complessa e il sito Web utilizzato un corretto metodo di hash della password , quindi anche in caso di violazione del database la tua password potrebbe essere ancora al sicuro
Leggi altre domande sui tag email encryption web-application