Si desea recuperar una contraseña que olvidó por completo, ¡buena suerte! El estándar para almacenar contraseñas es usar un método llamado “hash” / “hashes” / “hashing”.
Es matemáticamente una función unidireccional. Hashing es el proceso en el que se ingresa una contraseña como “apple” y, en el caso de la función hash SHA256, se generará el resultado de apple como “3a7bd3e2360a3d29eea436fcfb7e44c735d117c42d1c1835420b6b9942dd4f1b”.
La breve explicación es que no puede recuperar una contraseña que olvidó porque obtendría esa “cadena larga” que pegué anteriormente.
- ¿Qué está haciendo Kevin Mitnick el legendario hacker en estos días?
- ¿Cómo se compara Catalyze con Aptible en los servicios web compatibles con HIPAA? ¿Cuáles son las diferencias entre ellos (precios, características, funcionalidad)?
- Cómo proteger con contraseña mi HDD Sony
- ¿Cómo siguen siendo un problema los ataques DDoS?
- ¿Hay un lugar secreto en Windows donde se guardan todas las contraseñas?
Cuando escribe su contraseña “apple”, la entrada “apple” se coloca en la función hash y obtiene la salida (cadena larga) y luego se compara en la base de datos del servidor del sitio web (o aplicaciones). Los beneficios de esto es que cuando un atacante encuentra una laguna en el sistema, las contraseñas recuperadas serían la cadena larga.
¿Por qué es esto beneficioso?
Porque si alguien descubrió que usa la misma contraseña en cada sitio o en casi todos los sitios web, simplemente puede escribir “apple” y acceder a cosas como sus otros sitios web de redes sociales o bancos.
Si entendiste completamente correctamente, podrías preguntar “¿Pero no tratarían de hacer coincidir la cadena larga?”
Esto es cierto, podrían hacerlo, por lo que para frustrar este tipo de ataques cada sitio web y aplicación debe usar lo que se llama una “sal”. Una sal debe ser un identificador único por cuenta, de modo que cuando diga que desea que su contraseña sea “manzana”, el sitio web ingresará el hash como una marca de tiempo, una cadena aleatoria que se crea sobre la marcha y luego el usuario ingresó la contraseña “manzana”.
Entonces, digamos que acaba de crear una cuenta y la marca de tiempo era 1478015405 (que es 11/01/2016 @ 3:50 pm utc, en formato legible para humanos) y la cadena aleatoria era algo pequeña como “fJkd862mD” (debería ser grande en real use casos como 255 caracteres de largo), obtendría un hash de lo siguiente:
affc320c32f944233cb48d917785e0710857429a861d1a8c46567a7fa242849d
Y ahora, cuando un atacante encuentra el hash, no puede reutilizarlo en otro sitio web porque el otro sitio web tendría valores de entrada diferentes.
Una nota rápida: cada sitio web debe usar una sal de caracteres largos en lugar de la corta que utilicé porque los piratas informáticos pueden descargar / comprar lo que se llama tablas de arco iris, es una base de datos de hashes precalculados y esto efectivamente convierte una función irreversible en reversible. del conocimiento.
Entonces, por ejemplo, nuestra entrada fue exactamente “1478015405fJkd862mDapple”, esto probablemente estaría en una tabla de arcoiris, las tablas de arcoiris solo tienen entradas cortas almacenadas porque tomaría 1000 años generar una tabla de arco iris de 255 caracteres o más para todas las posibles “combinaciones de entrada”, lo cual no es factible para obtener ganancias o piratear ningún sistema, en este momento. En otras palabras, nadie compraría una mesa arcoiris o una herramienta de pirateo que demore 1000 años en estar lista y nadie usaría su valiosa capacidad informática para crear una herramienta que no los beneficie a ellos ni a sus hijos (niños, etc.) 1000 años.
Inténtalo, ve a __nCryptor___ y escribe 1478015405fJkd862mDapple en el “campo de entrada” y si coincide con el hash de affc320c32f944233cb48d917785e0710857429a861d1a8c46567a7fa242849d, entonces, si tu Facebook se verificara manualmente o cualquier otra contraseña, solo se verificaría manualmente.