Dove sono le funzioni hash nel codice dei moduli online? [duplicare]

Normalmente la password viene inviata in chiaro su una connessione crittografata al server. Il server calcola quindi l'hash della password e la confronta con la voce nel database.

L'hash e il sale sono memorizzati nel database insieme. La funzione di hash è codificata nell'applicazione. Per le applicazioni che supportano più funzioni di hash (in genere per modificare la funzione di hash in futuro) potrebbe esserci un flag per suggerire quale algoritmo è stato usato per quella particolare password. Il formato di archiviazione hash può anche offrire indizi su quale algoritmo è stato utilizzato (la lunghezza hash può essere un indicatore. Formati come bcrypt memorizzano i dettagli di ciò che viene utilizzato direttamente). In alternativa, qualcuno con una copia delle tabelle del database di autenticazione può tentare di utilizzare password comuni con un assortimento di algoritmi finché non trova un hash che esiste.

when a hacker tries to brute force their way into a system they need to find the hashed password, the salt and the hash function

Questo non è vero. Un hacker che ha ottenuto una copia delle tabelle del database di autenticazione può tentare di invertire gli hash. Questo è utile perché molti utenti riutilizzano le credenziali. Esistono molti modi per ottenere una copia delle tabelle, incluso ma non limitato alla ricerca di un canale utilizzabile per ottenere una shell (prompt dei comandi / terminale in cui è possibile eseguire direttamente i comandi) sul server, Iniezione SQL , il database è aperto a Internet con credenziali predefinite o uno sviluppatore stanco che accede accidentalmente ai token di accesso a un repository git pubblico.

Per fare ciò, normalmente proverai grandi elenchi di password comuni, parole di dizionario comuni e per ~ 9 caratteri una forza bruta completa. Ciò di solito comporta un'inversione di una grande percentuale degli hash disponibili.