Sécurité maillon faible
https://stackoverflow.com/questions/1759809
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai lu une tonne d'informations sur les mots de passe et hachant le salage, ne de, ne pas etc. Le problème que je vois est la suivante: Si un pirate va passer par les efforts de voler la liste des mots de passe hachés, doesn « t-il alors accès à toutes les données est protégé par mot? Il est comme le stockage de la combinaison à un coffre-fort, le coffre-fort. Effraction et vol de la combinaison. Si je devais le voleur, je prendrais l'argent.
Maintenant une grande entreprise a probablement un serveur distinct juste pour l'authentification. Cependant, le pirate veut données, pas des mots de passe. Donc, si les deux serveurs sont égaux, je briserai dans celui qui contient les données.
Y at-il une faille de base de la sécurité informatique que je suis absent ici? Y at-il des moyens non-social pour casser un mot de passe sans le fichier de hachage?
Merci pour votre aide.
- Dave
La solution
Vous supposez une telle personne a accès à la base de données. Ce n'est pas toujours le cas. Ils peuvent avoir trébuché sur une page où les hash sont accidentellement exposés aux utilisateurs (et ont donc pas accès à d'autres parties du DB), ou ils peuvent avoir utilisé l'injection SQL pour tirer certaines données sur une manière qui est limitée (par exemple, ils auraient pu compris que vos utilisateurs table est appelée users, mais pas que votre table de cartes de crédit est appelé lolcats).
Une autre considération de la sécurité est vos gens informatiques internes. Les développeurs ayant un accès légitime à la base de données ne doivent généralement pas encore rencontrerai les mots de passe de chacun en texte clair.
Autres conseils
L'une des raisons est que la plupart des utilisateurs ont le même mot de passe pour plusieurs comptes. Un mot de passe mes comptes signifie non hachés sur d'autres sites pourraient être compromis - surtout depuis e-mail est un champ commun pour les connexions. Par les mots de passe de hachage, si un site a leur db volé, je suis protégé d'avoir mon compte e-mail compromise en même temps.
La plupart des utilisateurs de réutiliser les mots de passe sur plusieurs systèmes. Si un attaquant se casse dans votre système, vous ne voulez pas qu'il soit en mesure d'utiliser vos données pour pénétrer dans les comptes de vos utilisateurs sur différents sites.
En outre, si vous chiffrez les données en utilisant le mot de passe de l'utilisateur et de stocker seulement un hachage du mot de passe, un attaquant ne pourra rien faire même s'il obtient votre base de données à moins qu'il ne peut se fissurer les hash. Notez que cela serait complètement impossible de mettre en œuvre une fonction « mot de passe oublié », sauf si vous avez un moyen de décrypter les données en utilisant la réponse de sécurité (ce qui en fait en effet un second mot de passe)
