Un cracker deve conoscere il numero di iterazioni che un algoritmo di hashing utilizza per calcolare un hash?
Se non lo sanno, come lo capiscono? Quanto tempo ci vuole per capirlo, che se non lo sapessero?
Posso solo supporre che provino un numero di password più comuni e provino con iterazioni diverse e vediamo quale quantità di iterazioni restituisce le password più corrette. Funzionerebbe anche se?
I soliti modelli di attacco presumono che l'attaccante conosca l'algoritmo esatto usato e l'unico sconosciuto sia (nel caso di hashing-to-hide-plaintextts) il testo in chiaro. In breve, il nemico conosce già il sistema .
A volte questo dà troppo credito all'attaccante, ma è meglio quindi sottovalutarlo. Poiché gli hash delle password vengono in genere recuperati interrompendo un server di produzione, è probabile che il codice sorgente dell'applicazione (che include una specifica completa della procedura di hashing utilizzata) sia stato acquisito allo stesso tempo. In altri casi, il codice sorgente è aperto per iniziare.
Se non si implementa l'algoritmo di hash sul lato server e si utilizza un algoritmo non standard, tutto ciò che riguarda l'algoritmo di hashing è noto all'hacker. se implementato sul lato client, può essere decodificato, anche se si utilizza un algoritmo non standard o si offusca un algoritmo standard.
Leggi altre domande sui tag hashing