c'est surtout fait pour rendre la vie difficile à un attaquant.
A priori le service est là pour authent des users. Donc si on choppe la liste:
1/ on google les hashs, généralement on arrive à en casser un paquet car google a stocké des millions de hash avec leur clair
2/ on bruteforce
le calcul du hash prend un temps léger, la comparaison va vite. Si on a 100 hashs de users, alors on calcul 1 hash et on compare 100x.
Maintenant avec un sel:
-plus de cassage de hash avec google.
-le calcul du hash doit être fait autant de fois que de user (lire le sel, prendre le pass évalué, calculer le hash, comparer avec le hash. Reprendre step 1 pour le user suivant)
Et avec PBKDF2:
tu fais pareil, mais avec un facteur de temps de 1 million.
[^] # Re: Chaussures du cordonnier
Posté par octane . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 5.
c'est surtout fait pour rendre la vie difficile à un attaquant.
A priori le service est là pour authent des users. Donc si on choppe la liste:
1/ on google les hashs, généralement on arrive à en casser un paquet car google a stocké des millions de hash avec leur clair
2/ on bruteforce
le calcul du hash prend un temps léger, la comparaison va vite. Si on a 100 hashs de users, alors on calcul 1 hash et on compare 100x.
Maintenant avec un sel:
-plus de cassage de hash avec google.
-le calcul du hash doit être fait autant de fois que de user (lire le sel, prendre le pass évalué, calculer le hash, comparer avec le hash. Reprendre step 1 pour le user suivant)
Et avec PBKDF2:
tu fais pareil, mais avec un facteur de temps de 1 million.