Criptazione del sale con password [duplicato]

0

I sali sono memorizzati nel testo normale e facilmente disponibili con le password con hash se il database delle password è compromesso. Cosa succede se criptiamo il sale usando la password stessa? Non rende l'attacco al dizionario offline più difficile in quanto l'attaccante ora deve identificare il sale per rompere la password e rompere la password per identificare il sale?

Con questo schema, la password viene sottoposta a hash con un salt casuale e il sale casuale non viene memorizzato in modo semplice ma crittografato con la password.

    
posta Curious 16.09.2014 - 08:38
fonte

1 risposta

1

Un attacco comune è controllare gli hash contro le password comuni. In quel caso la tua soluzione aggiungerebbe solo un altro giro di decodifica:

  1. scegli una password comune (ad esempio "password123")
  2. decripta il sale con la password scelta
  3. ha cancellato la password scelta con il sale decrittografato

Quindi stai rallentando gli attacchi e introduci più complessità nella tua soluzione. Vorrei utilizzare un parametro di costo più elevato per l'algoritmo di hashing.

    
risposta data 16.09.2014 - 08:57
fonte

Leggi altre domande sui tag