Un hacker di buon cuore ha appena iniettato in SQL il nostro sito Web, ottenendo l'hash della password di amministratore di 10 caratteri minuscoli. Gli ci è voluto mezza giornata per crearlo senza conoscere il SALT (sa che usiamo "sha256" perché il sito è opensource).
Ora, il manager non è felice. Ovviamente dovremo cambiare l'algoritmo in qualcosa di imprevedibile e una password di amministratore strong, a parte il patching di quel buco sql-inject.
Punti da considerare:
-
Le password sono forti come: "MyB0y6thJan @)!%": my boy 6 gennaio 2015 - > più facile da ricordare. O frase segreta "amiamo così tanto questo sito"
-
Gli hacker di solito sono professionisti, ci hanno attaccato continuamente. Potrebbero avere accesso a 10-100 computer potenti.
-
Gli hacker potrebbero pensare che stiamo usando sha256 come nell'open source ma li cambieremo in qualcosa di strong come bcrypt.
-
cambieremo la password ogni mese.
Domanda: se riescono a iniettare sql e ottenere l'hash in futuro, sarebbe in grado di farlo subito?
P / S: Ho letto molti argomenti simili come:
Stima il tempo necessario per decifrare le password usando bcrypt .
Come stimiamo il tempo impiegato per decifrare un hash usando le tecniche di forza bruta
Ma ancora sono così confuso ora, molte persone (incluso l'hacker) sostengono che qualsiasi password hash può essere violata nella sua forma originale, solo una questione di tempo. Mentre molti dicono che potrebbero volerci anni per crearne uno solo.