Hacking "sărat" hashes

Web Application Security: Ce se poate și nu se poate face atunci când criptarea folosind sare.

Web Application Security: Ce se poate și nu se poate face atunci când criptarea cu sare

Deci, pe server:

Pe server, programul nu poate verifica valoarea parolei datorită utilizării de sare și un ID de sesiune aleatoare. Și, ca o funcție hash MD5 combi, parola nu poate fi verificată, atâta timp cât parolele sunt stocate în text simplu în baza de date.

Ca sare pentru a cripta parola înainte de a trimite-l folosește generate aleator ID de sesiune. Acest lucru înseamnă că serverul de baze de date nu vor fi criptate.

Uneori, astfel de programe a da o mulțime de informații.

Postul №1: criptează întotdeauna baza de date parola.

1. Algoritmul folosit pentru a hash ar trebui să aibă unele defecte. Hashes ar trebui să fie reversibil
2. Utilizarea brute-force atac pentru a itera hashes folosind un dicționar sau curcubeu tabele.
3. Sau vă actualizați doar privilegii. Apoi, doar înlocuiți valorile din parolele HASH cunoscute pentru tine.

Pentru a putea folosi toate aceste tipuri de atacuri, ar trebui să știți, prin intermediul algoritmului a fost calculat hash.
Ce se poate face pentru a afla algoritmul hash utilizat.
Răspuns: Toate algoritmii genera un hash de lungime fixă. Prin urmare, pe baza valorilor de ieșire vă puteți da seama care algoritm pentru a utiliza # 9786;. „Toate acestea - în mod fidel fapte bine-cunoscute“, dar încă le-am pus aici.
Pentru a face acest lucru, voi plasa o masă mică pentru identificarea funcției hash pe baza valorii de ieșire