Autenticazione degli utenti controllando se la chiave può decodificare una frase vs controllando una password su un database [duplicato]

Naviga le tue risposte
-1

Sono curioso: perché dovremmo memorizzare una password in un database quando possiamo semplicemente crittografare una frase come "sbloccami" usando quella password e poi, al login, vedere se la frase cifrata può essere decifrata con successo con quella chiave? Per come la vedo io, c'è un vantaggio: se qualcuno dovrebbe hackerare in una rete di computer e accedere al tuo account, se il crittografo utilizza un algoritmo impermeabile a attacchi di testo normale, potrebbe cambiare la password ma "mai" essere in grado di ottenere la password originale, consentendoti così di utilizzare tale password su siti più sicuri.

Vieni a pensarci, possiamo - e probabilmente lo facciamo - usare una tecnica simile nei gestori di password.

    
posta moonman239 26.09.2015 - 03:50
fonte

1 risposta

-1

Se decidi di crittografare la stessa frase per tutti gli utenti, ciò causerà due problemi principali:

  • Due utenti che condividono la stessa password saranno immediatamente identificabili poiché condivideranno la stessa versione crittografata di essa,
  • L'attacco Bruteforce contro questa base sarà facile, dal momento che sarà sufficiente calcolare un solo hash della password per confrontarli con tutti gli utenti al fine di determinare se un utente usa questa password.

Naturalmente, potresti provare a utilizzare una stringa diversa per ogni utente, ad esempio questa persona che ha pensato sullo stesso schema di te, ma hai usato lo username invece di una frase fissa e codificata.

Ma anche lì, si finirà con il problema principale che le funzioni di crittografia sono progettate per essere veloci e richiedono il minor numero possibile di risorse. Questo è anche un grande regalo per gli attacchi di forza bruta in quanto ciò significa che un numero enorme di password verrà provato in pochissimo tempo.

Quindi, la conclusione di tutto questo è che, quando si tenta di proteggere le password di autenticazione, è necessario affidarsi definitivamente alle funzioni appositamente predisposto per questo utilizzo .

    
risposta data 26.09.2015 - 09:14
fonte

Leggi altre domande sui tag

Ricerca degli agenti utente consentiti per un sito Web Considerazioni su un sistema di questionari sicuri basato sul web