QNA > C > Come Ottenere La Password In Forma Utilizzabile (Decrittazione)

Come ottenere la password in forma utilizzabile (decrittazione)

Se la "password criptata" è stata implementata correttamente e in modo sicuro, in realtà non è una password criptata. È un "hash salato" di una password. Più specificamente, la password viene in qualche modo combinata con una stringa casuale di caratteri - diciamo, per esempio, che vengono aggiunti 8 caratteri casuali alla password. La stringa risultante viene poi sottoposta a hash usando un algoritmo come MD5, SHA-1 o SHA-256. L'"hash salato" che viene memorizzato nel campo "password criptata" del database utente diventa quindi la stringa di sale di 8 caratteri, seguita dalla rappresentazione stringa dell'hash (forse codificata usando Base64).

Dato solo l'hash salato, come si fa a "invertire" il processo e capire quale password ha generato l'hash salato? A meno che non si possa sfruttare una vulnerabilità nota nell'algoritmo di hashing, non è possibile farlo in un lasso di tempo ragionevole; si dovrebbe eseguire un attacco di forza bruta, molto probabilmente calcolando gli hash salati di quintilioni (o più) di password indovinate finché qualcosa alla fine calcola lo stesso valore. E anche se si calcola lo stesso valore, non c'è garanzia che sia la password originale - potresti semplicemente aver incontrato una collisione nell'algoritmo di hashing. Ma forse questo è abbastanza buono, se volete solo autenticarvi con successo nell'applicazione.

Quasi probabilmente, il Sole sarà diventato una gigante rossa, avrà inghiottito la Terra, avrà finito il carburante, e poi si ridurrà di nuovo ad una nana bianca molto, molto prima che troviate la password (o una collisione nell'hashing), specialmente se la stringa di sale è lunga 16 caratteri, e l'algoritmo di hashing è SHA-256. Hackerare l'applicazione probabilmente non vi servirà a molto a questo punto, ma se è ancora una priorità abbastanza alta per voi che state ancora eseguendo il vostro programma di cracking della password, allora mi congratulo per la vostra persistenza!

Di Scherle

Come trovare il mio numero di conto Citibank :: Come fare in modo che Windows 10 chieda il nome utente e la password durante l'accesso
Link utili