Invio password tramite rete [duplicato]

-1

Nel caso non sia disponibile TLS / SSL, perché non posso usare l'hash della password (SHA512) come chiave per crittografare la password (senza sale) per inviare attraverso la rete? Attacchi MITM che posso capire, ma quali sono gli altri possibili attacchi?

    
posta user34694 26.11.2013 - 14:35
fonte

1 risposta

5

L'unico scopo di SSL è quello di impedire che l'Uomo nel mezzo accada. Non avere SSL / TLS significa semplicemente che non puoi avere:

  • Riservatezza
  • Integrità

Inoltre, la password è solo un token utilizzato per l'autenticazione, non è necessario avere la password effettiva se il token di accesso è l'hash. Puoi eseguire un attacco ripetitore / replay se riesci a fiutare l'hash dalla rete e fornirlo alla tua applicazione per autenticare il tuo servizio.

Un esempio per un simile attacco può essere trovato in Windows. Si chiama attacco pass-the-hash .

    
risposta data 26.11.2013 - 14:43
fonte

Leggi altre domande sui tag