No.
Tres casos:
1. Genera la cadena aleatoria una vez y nunca cambia durante la vida útil de la cuenta: el atacante crea una nueva cuenta con una contraseña conocida, captura la entrada de la base de datos de contraseña para la cuenta, luego cambia la contraseña y captura la entrada de la base de datos nuevamente. El atacante compara las dos entradas de contraseña y se da cuenta de que parte de ella permaneció igual. El atacante concluye que la parte que cambió es el hash.
2. Genera una nueva cadena aleatoria cada vez que se actualiza la contraseña y no permite la reutilización de la contraseña: nuevamente, el atacante comienza creando una cuenta con una contraseña conocida y capturando la entrada de la base de datos de contraseñas. El atacante obtiene la sal de la entrada de la base de datos, ejecuta la contraseña conocida + sal a través de su algoritmo de hash. El atacante encontrará el resultado incrustado en algún lugar de la entrada de la base de datos de contraseñas y sabrá que debe ignorar el resto. (Siempre debe suponer que su atacante conoce su algoritmo. Sin embargo, incluso si no lo sabe, el atacante solo tiene que ejecutar la contraseña conocida + sal a través de los algoritmos y configuraciones “sospechosos habituales” hasta que se encuentre una coincidencia para alguna parte de la entrada de la base de datos de contraseñas)
- ¿Qué tan seguro es Java?
- ¿Hay personas como Elliott de 'Mr Robot' que piratean a las personas a su alrededor para recuperar información personal íntima?
- Si tengo un antivirus, ¿es necesario tener un anti malware?
- ¿Los mejores programas antivirus y antimalware para Windows son tan buenos como los que tienen Macs?
- ¿Alguien ha hackeado el 'Gran Cortafuegos de China'?
3. Genera una nueva cadena aleatoria cada vez que se actualiza la contraseña y permite la reutilización de la contraseña: en este caso, el atacante crea una cuenta en su sistema con una contraseña conocida, captura la entrada de la base de datos de contraseñas para la cuenta, luego cambia la contraseña a otra cosa, la cambia de nuevo y captura la entrada de la contraseña nuevamente. El atacante compara las dos entradas de contraseña. La parte que se mantuvo igual es el hash. (El atacante también podría usar la técnica descrita anteriormente para el caso 2, pero de esta manera sería más fácil si no conocen su algoritmo).
