En lenguaje simple, ¿cómo funcionan las contraseñas? ¿Cómo rechaza una aplicación la contraseña incorrecta?

Casi en cada sitio web reputado, la contraseña no se almacena en texto sin formato. Es hash ( función criptográfica de hash – Wikipedia ) y se sala. Si almacena las contraseñas en texto sin formato, cualquier intruso puede apoderarse de ellas.

Una función hash criptográfica es, se puede decir, un algoritmo matemático (por lo tanto, una función) para convertir una entrada arbitraria (también conocido como mensaje) en una cadena (matriz de bits, para ser precisos) de un tamaño fijo, que se denomina hash / digest . Están diseñados para ser funciones unidireccionales, es decir, no puede obtener el mensaje del hash. La única forma es la fuerza bruta (que podría tomar millones de años para una contraseña segura), o usar tablas de arco iris (que contienen datos precalculados). Profundizar en este tema está fuera del alcance de esta respuesta, ya que requiere una explicación en términos simples.

Salt es una cadena aleatoria que se concatena o agrega en la contraseña para mayor seguridad, que luego se codifica. De esta manera, la contraseña es más segura ya que el hash de la contraseña real es diferente del hash de la contraseña salada. Por ejemplo,

Contraseña = upvote_this_answer_NOW

Sal = shklf87et6ehbg

Contraseña salada = upvote_this_answer_NOWshklf87et6ehbg

El hash de la contraseña salada = e10be86c2fc46dcf669d49f5f29e1dd7b1bf4e135f07cb4541e106ee0a591db6d5823187b1e88154775f2a9c1e3926eb88ee68f1d9bbedd372324a1081168f1d9bbedd37232418101111
Hash de contraseña real = fecf3e2c732cce39f056937cba78bbd4797b091865deb2eae88ef645cc167d353cf3d24163430268ba18c110e68c4b218eb369f341d82c334c673b464601443e

Claramente, los hashes [1] son ​​diferentes.

Ahora, esto es lo que sucede detrás de escena cuando ingresas una contraseña:

  • Usted ingresa la contraseña.
  • Luego se sala.
  • La contraseña se codifica utilizando las funciones criptográficas de codificación en uso.
  • El hash se compara con el hash almacenado. Si coincide, la contraseña es correcta.

Contiene extractos de la respuesta de Siddh Raman Pant a ¿Cómo se crea una contraseña segura? ¿Algun consejo?

¡Gracias por leer!

Notas al pie

[1] http: // SHA-512 usado

Related Content

Cómo comenzar mi carrera en seguridad de redes

¿Por qué LastPass no requiere que ingrese la contraseña maestra para leer la contraseña?

Cómo instalar el antivirus K7-total-security

¿Cuál es el mayor ataque DDoS hasta ahora?

¿Realmente no hay un programa de computadora que pueda entender un CAPTCHA? Si no, ¿cuánto tiempo pasará antes de que este sistema sea obsoleto?

Cuando se establece / almacena una contraseña, se realiza una ecuación matemática en los caracteres de su contraseña (usando un ‘salt’, busque la contraseña salt para obtener más información). Esto se denomina hash.

Este valor hash se almacena. Cualquier cambio en la contraseña o sal dará como resultado un hash diferente.

Cuando ingresa una contraseña, se realiza la misma ecuación matemática en la contraseña que ingresa. Si el resultado coincide con lo que está almacenado, se le otorga acceso. Si no es así, su intento de contraseña es rechazado / denegado.

Espero que esto ayude, no soy un experto en criptografía

Wilhelmina Fransiska Meily

La respuesta * simple * es que generalmente el sistema almacena su contraseña. Cuando intenta iniciar sesión, se le solicita un nombre de usuario que el sistema utiliza para identificar y conocer la contraseña almacenada correcta. Entonces el sistema le pide su contraseña. El sistema compara su contraseña con su contraseña almacenada. Si coinciden, estás dentro, si no, entonces eres rechazado.

Hay otras cosas que hacen que sea difícil saber una contraseña, incluso si la base de datos de contraseñas almacenadas es robada. También hay procesos para recuperar la contraseña perdida. Pero eso complicaría.

Hablo en términos de sistema porque la mayoría de las aplicaciones utilizan algún servicio del sistema operativo para la contraseña en lugar de reinventar (lo que generalmente se hace sin una buena seguridad), pero funciona igual.

David McLaughlin

La contraseña funciona cuando la contraseña almacenada en la base de datos coincide con la que ingresó en el campo de contraseña de la aplicación.

Cuando se ingresa la contraseña, (normalmente) habrá una validación en la aplicación donde la contraseña ingresada se verificará con la almacenada en la base de datos, y si no coincide, la aplicación devolverá una declaración de error.

David McLaughlin

Cuando va a un sitio web por primera vez, es posible que le pida que se registre: ingrese su dirección de correo electrónico y una contraseña. El sitio web los recuerda. Puede enviar un correo electrónico a su dirección y pedirle que visite un enlace en el correo electrónico, para probar que dio una buena dirección.

La próxima vez que visite, el sitio le pedirá su contraseña. Luego verifica para asegurarse de que sea el mismo con el que se registró. Si es así, le permite acceder al sitio. Crea una cookie de sesión (una cadena aleatoria de caracteres) que le da a su navegador. Cada vez que visita una nueva página, su navegador devuelve la cookie, que es como obtener un sello manual en un programa para demostrar que ha pagado. Si deja de visitar el sitio por un tiempo, el sitio web olvida la cookie de sesión (también lo hace su navegador) y dice que tendrá que iniciar sesión nuevamente y volver a ingresar su contraseña. A menudo, su navegador puede recordar su contraseña por usted, pero si usa esa función, debe hacer una “contraseña maestra” para cifrar todas las contraseñas almacenadas, en caso de que alguien le robe su computadora portátil.

Debido a que los sitios web pueden ser pirateados, y los operadores del sitio web pueden no ser honestos, las contraseñas están ocultas como dice David. El sitio web no recuerda la contraseña real, recuerda un hash. Puede obtener el mismo hash de la misma contraseña cada vez, pero no puede retroceder y obtener la contraseña del hash.

Mohammad Ahmed

¿Pueden algunos explicar que tengo 5 años y que funcionan las contraseñas?

Alice: ¿Puedo visitar tu casa del árbol?

Bob: ¿Cuál es la contraseña?

Alice: No sé, déjame entrar.

Bob: ¿Cuál es la contraseña?

Alice: Olvidé la contraseña, lo sabía, realmente lo sabía.

Bob: ¿Cómo se llama tu mascota?

Alice: esponjosa.

Bob: * le pasa a Alice una nota con algunas instrucciones sobre cómo crear una nueva contraseña *.

*** el tiempo pasa ***

Alice: he vuelto, he creado una nueva contraseña.

Bob: ¿Cuál es la contraseña?

Alice: hunter2

Bob: Sal de mi césped.

Gary Palmer

More Interesting

He estado viendo tutoriales de pruebas de lápiz y piratería ética, pero a veces no puedo entender lo que están haciendo y usando porque soy un principiante y no estoy muy familiarizado con este mundo. ¿Qué tengo que hacer?

Cómo determinar correctamente el nivel de seguridad en una empresa en función de las vulnerabilidades descubiertas

¿Qué tan seguro es FaceTime?

Cómo asegurar un sistema de Windows para autodestruirse si el PW de inicio de sesión incorrecto

¿Algún virus informático ha infectado algún sistema en el espacio?

¿Por qué los sitios web PHP son hackeados fácilmente?

¿Por qué el generador de contraseñas LastPass no le permite generar contraseñas de más de 100 caracteres?

¿Pueden las docenas de líneas de * aparentemente * caracteres aleatorios que a veces veo en los encabezados de correo electrónico no deseado ser scripts que pueden ejecutarse cuando abro el correo?

¿Apple realmente mejorará la seguridad de iCloud después del tan publicitado hack de celebridades?

¿Qué tan seguro es un sistema de seguridad inalámbrico para el hogar? ¿Se puede hackear?

A nivel técnico, ¿cómo se piratean los teléfonos de las celebridades?

¿Cuánto puede la fuerza de ciberseguridad de la India capaz de defenderse de los ciberataques, como el ataque de ransomware en Inglaterra?

¿Cuáles son los mejores sitios web para noticias e información de seguridad cibernética?

¿Cuál tiene más alcance, piratería ética o robótica?

¿Qué tipo de virus es este?