0

パスワードのソルティングに関するかなりの数の質問を読みましたが、ほとんどの場合、(私が思うに) 私が既に理解していることをカバーしています。あれは; パスワード ハッシュにランダムなソルトを含めるポイントは、まず、パスワードが同じ場合でも 2 つのハッシュが同じになるのを防ぐことです。次に、プリコンパイル済みリストに対してハッシュを照合するレインボー テーブル攻撃を阻止します (プリコンパイル済みハッシュのいずれも、使用したソルトを使用していないため、ソルト/ハッシュごとに新しいレインボー テーブルを生成する必要があります)。誤解している場合は、お気軽に修正してください。

私の質問: 攻撃者があなたのハッシュにアクセスできる場合 (私たちが保護しているシナリオ)、それは彼らがあなたのデータベースにアクセスしていることを意味します. その場合、ハッシュが何であるかは問題ではなく、必要なものに置き換えることができますか?

4

2 に答える 2

1

データベースへの読み取りアクセス権は、データベースへの書き込みアクセス権を意味するものではありません。

そうです、攻撃者がパスワード ハッシュを既知のハッシュされたパスワード + ソルトに更新できる場合、攻撃者は特定のアカウントにアクセスできます。ただし、パスワード ハッシュのダンプは、データベースへの直接アクセス以外の場所から取得される可能性があります。

于 2012-03-03T02:17:42.083 に答える
1

それはすべて、アカウントの許可に依存します。読み取り専用アカウントがハッキングされた場合、読み取りのみが可能になりますが、より高いアカウントがハッキングされた場合、攻撃者ははしごが上に行くほど高い権限を持っています。

于 2012-03-03T02:20:38.583 に答える