Seguridad eslabón débil
https://stackoverflow.com/questions/1759809
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
He leído un montón de información acerca de hash y salazón contraseñas, no de, No etc. El problema que veo es el siguiente: si un hacker se va a ir a través de los esfuerzos de robo de la lista de contraseñas con algoritmo hash, doesn 't él entonces tiene acceso a todos los datos que está protegido con contraseña? Es como el almacenamiento de la combinación de una caja fuerte, en de la caja fuerte. Amolde, y el robo de la combinación. Si yo fuera el ladrón, tomaría el dinero.
Ahora una gran empresa tiene probablemente un servidor separado sólo para la autenticación. Sin embargo, el hacker quiere datos, no contraseñas. Así que si ambos servidores son iguales, me gustaría entrar en el uno que contiene los datos.
¿Hay algún defecto básico de la seguridad informática que estoy perdiendo aquí? ¿Hay no social maneras de descifrar una contraseña sin el hash de archivo?
Gracias por su ayuda.
- David
Solución
Usted está asumiendo una persona tiene acceso a toda la base de datos. Esto no es siempre el caso. Es posible que hayan topado con una página donde los hashes están expuestos accidentalmente a los usuarios (y por lo tanto no tienen acceso a otras partes de la base de datos), o pueden haber utilizado la inyección de SQL para extraer ciertos datos a cabo de manera que se limita (por ejemplo, que podrían haber dado cuenta de que la mesa sus usuarios se llama users, pero no que su mesa de tarjetas de crédito se llama lolcats).
Otra consideración la seguridad es su gente de TI internos. Los desarrolladores con acceso legítimo a la base de datos general, todavía no se deberían ver las contraseñas de todos en texto plano.
Otros consejos
Una de las razones es que la mayoría de los usuarios tienen la misma contraseña para varias cuentas. Una contraseña sin troceo significa que mis cuentas en otros sitios podrían verse en peligro - sobre todo porque el correo electrónico es un campo común para los inicios de sesión. Por hash contraseñas, si un sitio tiene su db robados Estoy protegido de tener mi cuenta de correo electrónico en peligro al mismo tiempo.
La mayoría de usuarios reutilizar contraseñas a través de múltiples sistemas. Si un atacante se rompe en su sistema, usted no quiere que él sea capaz de utilizar sus datos para entrar en las cuentas de los usuarios en diferentes sitios web.
Además, si cifra los datos utilizando la contraseña del usuario, y sólo almacena un hash de la contraseña, entonces el atacante no será capaz de hacer cualquier cosa, incluso si se pone toda su base de datos a menos que pueda romper el hash. Tenga en cuenta que esto haría totalmente imposible implementar un 'Olvidó su contraseña' característica a menos que tenga una forma de descifrar los datos usando la respuesta de seguridad (por lo que es en efecto una segunda contraseña)
