企業がハッシュを適切に保護し、認証システムに対するブルート フォース攻撃を防ぐことができるのであれば、なぜパスワードに強度が必要なのでしょうか?
誰かがハッシュを取得できず、総当たり攻撃もできない場合、パスワードは比較的安全ですよね?
もちろん、簡単な答えは「そうですが、ハッシュは常に安全に保たれているわけではありません」です。しかし、ビジネスの観点から見てください。ユーザーに強力なパスワードを保持することを要求する場合、基本的に、ハッシュの保護とブルート フォース攻撃の防止の両方を行うことはできないことを認めています。つまり、ユーザー自身の失敗に対してユーザーに責任を負わせているのは会社ですよね?
あなたのパスワードが"a"、ひどく弱いパスワード(a)であるとしましょう。
ハッシュがなくても、ブルートフォースアプローチでそれをクラックするのにほとんど時間がかかりません.
ハッシュがあると簡単になるかもしれませんが、ハッシュがないからといって必ずしも不可能になるわけではありません。
(a) : これが、私が常にパスワードを使用する理由です"b"- クラックするのに 2 倍の時間がかかります :-)
パスワード ハッシュとソルトは、データベースに格納されたときにパスワードを安全にしますが、フロントエンドのクラッキングからは保護しません。
ブルート フォース クラッカーは、a-999 などのすべてを試す Web サイトに対して実行されます。単純なパスワードはabc、ハッシュとソルトがどれほど安全であっても、すぐにクラックされます。