Întrebarea mea este că hackerul poate face asta numai dacă știe cum funcționează funcția hash (folosită de bancă). Evident, el nu poate genera hash-urile parolelor comune dacă nu știe cum funcționează funcția hash folosită de bancă. Atunci de ce este hashingul fără săruri un pericol pentru securitate? Înseamnă asta că toate funcțiile hash funcționează la fel?
Premisa dvs. este greșită, deoarece presupuneți că băncile sunt în siguranță împotriva piratarii și păstrarea hash-urilor parolei de la atacatori. Dacă băncile folosesc vreodată hashing parole fără săruri, atunci gestionarea riscului lor este foarte proastă, trebuie să declanșeze analizatorii de risc.
Deci, atunci când banca folosește hash-uri de parole fără sare este o chestiune de timp ca acestea să fie atacate și aproape toate parolele să fie ușor dezvăluite.
Sperăm că sistemele bancare nu se bazează doar pe parole, deoarece riscul lor este mai mare. De obicei, necesită autentificare cu doi factori, parole unice etc.
Și rețineți că nu folosim hashuri criptografice ca hash-uri pentru parole, deoarece sunt concepute pentru a fi rapide și sigure. Pe de altă parte, hashurile moderne de parole necesită, sare unică și;
- iterație controlabilă pentru a reduce paralelizarea masivă a atacatorului,
- memorie mare pentru a reduce utilizarea masivă a mediului de tip ASIC/GPU și
- fire reglabile pentru a reduce paralelizarea.
Unii algoritmi buni de hashing a parolelor pe care ar putea dori să-i vezi sunt Argon2, Scrypt și Balloon hashing. În cele din urmă, hashingul parolei fără o sare unică nu este recomandat. Dacă sunt folosite, atunci Rainbow Tables sunt monștrii care pândesc pe următoarea stradă...