Posso impedire la forzatura bruta di hash + password utente salate senza un server di convalida dedicato? [duplicare]

-3

Gli hash salati non sembrano offrire una vera protezione per le password degli utenti da solo. Fintanto che un hacker ha un modo rapido per controllare se una password è giusta o sbagliata, è banale imporla di vedere le password in chiaro. Soprattutto se l'attaccante utilizza GPU o una soluzione FPGA / ASIC.

Da quello che ho raccolto, dovrei inviare le mie password hash + salate a un server dedicato (hardened) sulla mia rete il cui unico compito è la convalida (tramite chiavi segrete). Un hacker dovrebbe ottenere l'accesso a entrambi i server prima che le password in chiaro possano essere recuperate. Mi piace questa soluzione, ma non mi piace il costo di affittare un altro server.

Esistono alternative all'utilizzo di un server di convalida dedicato?

    
posta Mr. Smith 06.01.2015 - 07:03
fonte

2 risposte

3

La solita soluzione è solo quella di forzare le password che sono di una lunghezza che rende la forzatura bruta molto non banale.

Dai un'occhiata alle nostre domande sulla sicurezza delle password o sull'entropia e vedrai quale complessità / lunghezza della password è necessaria per assicurarti che anche i forzanti brute basati su GPU falliranno nel tempo richiesto.

    
risposta data 06.01.2015 - 08:50
fonte
1

La soluzione corretta non consiste nell'utilizzare un semplice hash salato, ma piuttosto un algoritmo lento appositamente progettato per proteggere le password, come bcrypt , PBKDF2 o scrypt .

Qui ci sono molte domande su come proteggere correttamente le password e su quegli algoritmi ...

    
risposta data 06.01.2015 - 11:03
fonte

Leggi altre domande sui tag