¿Cómo afecta a la facilidad de descifrar las contraseñas de usuario robadas la obtención de todas las sales en texto plano junto a las contraseñas hash y saladas?

El propósito de la sal es simplemente aumentar el esfuerzo de trabajo involucrado en descifrar los hashes de contraseñas. No pretende ser un secreto, y no puede convertirse en un secreto completo: la aplicación debe poder recuperar tanto la sal como el hash de la base de datos. Además, los mecanismos de hash de contraseñas existentes no separan la sal del hash de tal manera que podría colocarlo en otro lugar; Por lo general, son partes de la misma cadena codificada.

Una buena regla general es asumir que un atacante que puede comprometer su aplicación puede ver toda la información que la aplicación puede ver. Esto incluye toda su base de datos, esquema y código fuente. Cualquier cosa que deba mantenerse en secreto no debe almacenarse de manera reversible en ninguna de estas ubicaciones. (El cifrado de la base de datos es un tema separado y aborda una amenaza diferente).

La mejor manera de proteger las contraseñas de sus usuarios es utilizar un mecanismo de hash de contraseña establecido diseñado con un factor de trabajo alto y / o ajustable, como bcrypt, scrypt, PKBDF2 o PHPass.

Related Content

Cómo averiguar la contraseña en la aplicación Applock

¿Cómo se aseguran las grandes empresas de que sus nombres de dominio no serán secuestrados o transferidos?

¿Son 2 rondas de hashing SHA256 una forma segura de almacenar contraseñas y otros datos confidenciales?

¿Por qué los sitios web nos hacen seleccionar contraseñas extremadamente complejas, cuando ese método de piratería (fuerza bruta) ha sido obsoleto durante años?

¿Cómo se puede formular OWASP a diez riesgos como requisito de software?

Todos los mecanismos de encriptación / hashing son básicamente crackeables dado el poder de cómputo suficiente, pero obviamente se requiere practicidad aquí: descifrar una contraseña de Facebook puede ser divertido, pero no es tan rentable como una contraseña de cuenta bancaria.

Por lo tanto, tener el archivo de contraseña hace que descifrar las contraseñas sea mucho más fácil que no tenerlas, ya que puede hacer análisis de diccionario en las contraseñas mucho más fácil que de otra manera. Pero todavía no es fácil si la contraseña en sí es resistente al ataque del diccionario, ya que el craqueo por fuerza bruta es costoso en términos computacionales. Los hackers probablemente ganarán más dinero cultivando bitcoins con una potencia informática equivalente.

Sin embargo, si los usuarios eligen contraseñas simples, tener sales fuertes y algoritmos de hash realmente no protegen las contraseñas de ser descifradas.

El eslabón más débil en las contraseñas son las contraseñas mismas, no los algoritmos. Las computadoras se pueden asegurar lo suficiente como para que la ingeniería social haya sido el método de piratería más rentable durante mucho tiempo.

Daniel Miller

Seguro que hace que sea más fácil encontrar el valor de texto en claro correspondiente para la contraseña hash cuando tiene la sal que entró en ese hash en particular. Se ha reducido su superficie de ataque al rango de valores posibles, suponiendo que conozca la sal y el algoritmo de hash.

Me gustaría señalar que almacenar la sal junto a la entrada en hash, especialmente sin garantía, es una muy mala idea. Las sales se consideran entidades criptográficas ya que sin ellas, su seguridad no puede funcionar. Deben almacenarse en criptostores seguros con acceso limitado y controlado. Solo el algoritmo de autenticación utilizado para cifrar contraseñas con fines de comparación necesita acceso a la sal. Una tienda de sal separada, salero como mínimo, como mínimo.

Daniel Miller

More Interesting

¿Cómo son las vulnerabilidades de software que son explotadas por los hackers?

¿Es el ransomware un tipo de malware?

¿Es realmente necesario un antivirus para Windows 10?

¿Windows Defender es un antivirus o es un anti-malware?

Cómo conseguir un trabajo en ciberseguridad

¿Es el nuevo satélite 'a prueba de piratería' de China realmente a prueba de piratería?

¿Cuáles son los casos de uso más interesantes de blockchain para la industria de la seguridad cibernética?

Cómo hacer que mi hogar sea más seguro

¿Por qué muchos sitios solo permiten contraseñas de entre 6 y 30 caracteres? ¿Por qué no más?

¿Es posible usar Gmail con Thunderbird después de activar la verificación en dos pasos?

¿Cómo debo elegir mi contraseña para que sea más segura?

¿El requisito de cambiar una contraseña cada pocos meses aumenta o disminuye la seguridad?

¿Qué es un troyano? ¿Qué puede hacer todo un troyano? ¿Cómo puedo eliminar el virus troyano?

¿Por qué es tan fácil hackear nuestro gobierno?

¿Cuáles son las cosas más importantes que pueden ser pirateadas?