No caso de um vazamento do banco de dados, o agente malicioso estaria de posse do salt e da hash e se ele tiver uma rainbow table, não seria possível recalcular a rainbow table? Só pergunto porque em um video do curso foi dado o exemplo de um vazamento da hash.
Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas
respostas
Vazamento da hash e do salt
Oi Edson, tudo bem? Não tenho conhecimentos aprofundados em criptografia, mas chuto que seja sim possível recalcular a rainbow table, dependendo do tipo de criptografia usada, poder computacional, etc. Se bem que pelo que li, a rainbow table é um cache usado para evitar recalculo de hashes como estratégias para não duplicidade. Então, no limite do que eu li a respeito, o cálculo da rainbow table não ajudaria muito a quebrar a senhas já que um mesmo valor poderia gerar hashes diferentes com base no mesmo cálculo.
Faz sentido?
solução!
Bom dia Edson, tudo certo?
Sim, é possível recalcular os valores. Mas se cada uma das entradas utiliza um sal diferente a rainbow table vai servir apenas para aquela entrada. Sendo assim, não é muito útil guardar os valores gerados, pois eles não irão servir para comparar em outras entradas.
Ou seja: utilizar as hashes com sal impede que apenas uma tabela seja utilizada para ir decifrando todas as senhas. Um atacante precisaria calcular diversos valores para cada senha que desejasse descobrir, tornando o processo muito mais demorado.
O intuito não é criar uma medida que seja impossível de reverter, mas que seja impraticável no tempo hábil e poder computacional que temos atualmente.
Espero que tenha ajudado no entendimento, mas qualquer outra dúvida ou sugestão sinta-se à vontade de mandar.