Сух "солени" хешове

Web Application Security: Какво може и какво не може да направи, когато криптиране използвайки сол.

Web Application Security: Какво може и какво не може да се направи, когато криптиране с помощта на сол

Така че, на сървъра:

От сървъра програмата не може да провери стойността на паролата, поради използването на сол и случаен идентификационен номер на сесията. И като комби хеш функция MD5, паролата не може да бъде потвърдена, докато паролите се съхраняват в обикновен текст в базата данни.

Като сол за криптиране на паролата, преди да го изпратите употреби произволно генериран идентификатор на сесията. Това означава, че сървърът на базата данни няма да бъдат криптирани.

Понякога тези програми дават много информация.

Позиция №1: винаги шифрова парола база данни.

1. Използваният алгоритъм за хеширане трябва да има някои недостатъци. Парчетата трябва да са обратими
2. Използването на груба сила атака, за да превъртите хешове с помощта на речник или таблици дъга.
3. Или просто АКТУАЛИЗИРА привилегии. След това просто заменете стойностите в хешове за пароли, известни с теб.

За да използвате всички тези видове атаки, трябва да знаете, с помощта на алгоритъма се изчислява хеш.
Какво може да се направи, за да разберете хеш алгоритъм използва.
Отговор: Всички алгоритми генерират с фиксирана дължина хашиш. Поради това, на базата на изходните стойности можете да разберете кой алгоритъм, за да използвате # 9786;. "Всичко това - доста добре известни факти", но все пак аз ги поставят тук.
За да направите това, ще поставя малка масичка за идентифициране на функцията за хеш на базата на стойността на продукцията