De acuerdo

Conoce el concepto de salting utilizado en seguridad informatica.

Última respuesta oct. 28, 2021 12:53:29 2368 2 8 0 2

¿Para entender el termino salting necesitamos primero saber qué es el hash?


En criptografía, el hash es una función unidireccional que toma una entrada (datos) y la salida es un valor fijo

llamado valor hash o suma de comprobación. El tamaño del valor hash depende del algoritmo de función hash

utilizado. Cualquier cambio en los datos de entrada cambiará el valor Hash incluso si este cambio es de un bit.


Nota: la función hash es unidireccional, que es la diferencia entre hash y cifrado, que es una función

bidireccional, lo que significa que puede conocer el valor de entrada de la salida que no se puede hacer con hash.



Ejemplo de algoritmos de hash son MD5, SHA1, SHA2


002952drnrbdx2irnbrnxa.png?233653y3szfzs

143953uvlst97gl9bbuttu.png?143934kv940gz


Nota: MD5 y SHA1 son algoritmos débiles, ya que son vulnerables a la vulnerabilidad de colisión. La vulnerabilidad de colisión es simplemente que dos entradas diferentes pueden tener el mismo valor hash de resultado que no se acepta. Se recomienda usar SHA2.


144244i8olpx2ri8lawx0y.png?sa.PNG


Ejemplos de uso de Hashing:


1.- Se utiliza para verificar la integridad de los datos enviados mediante el hash de los datos y calcular el valor de hash y luego enviar los datos con este valor de hash al receptor. El receptor recibirá los datos y calculará el hash

con el mismo algoritmo y luego comparará resultado hash valor con el valor hash recibido y si el resultado es el

mismo podemos confirmar que estos datos no cambiaron durante la transmisión


144459gjajc4ynzhbghtac.png?144431wom6ui0


2- Los valores de hash se utilizan para verificar la integridad de las fuentes de software descargadas y para asegurarse de que si hay malware en estas fuentes. Cuando descarga software de un sitio web legítimo, puede encontrar el valor de hash de este software para que pueda Asegúrese de que este software sea legítimo cuando lo descargue


144916fms2w6gw04gx7m27.png?144855qup60tg


3- Cuando un dispositivo o sistema operativo utiliza contraseñas para autenticar a los usuarios no almacena la

contraseña en sí, sino que almacena el valor hash de la contraseña. Cuando el usuario autentica y escribe su

contraseña, el valor hash de esta contraseña se calcula luego se compara con los valores hash de la contraseña almacenada y, si coincide, la autenticación se realiza correctamente.


Nota: en Linux, las contraseñas se almacenan como un hash en / etc / shadow y en windows, se almacena en el

archivo SAM.


Entonces, ¿qué es saltaing y por qué lo necesitamos? Este es nuestro tema principal :-)


Algunos ataques se utilizan para autenticar usuarios no legítimos para acceder a recursos a los que no tienen

derechos de acceso. Un ataque como el ataque de fuerza bruta se usa para probar todas las contraseñas

posibles hasta que una contraseña se autentique correctamente. Utiliza la tabla de diccionarios o la lista de

contraseñas para intentarlo todo.


150350jh22212dd2yqp2hl.png?Screenshot.PN

Otro se llama el ataque del arco iris, que es similar al ataque de fuerza bruta, pero utiliza una tabla del arco iris en lugar de una lista de contraseñas. La tabla del arco iris es simplemente los valores hash de una lista de

contraseñas que se comparan directamente con la contraseña almacenada En un sistema o dispositivo.


Nota: Existen diccionarios de contraseñas populares y las tablas de arco iris en Internet se pueden usar con tools como

aircrack o john the ripper en kali linux para probar estos ataques.


Ejemplo:

Usuario Contraseña

usuario1 contraseña123

usuario2 contraseña345


Si tuviéramos una tabla de diccionarios sería así (password123, password345, password678, password666, password2323, etc.)


La tabla del arco iris será una lista de valores hash de todas estas contraseñas.


Como se mencionó anteriormente en los sistemas operativos o dispositivos, las contraseñas locales se almacenan en archivos específicos, pero no se guardan en formato de texto plano. En su lugar, los valores de hash de estas

contraseñas se almacenan. Esto evitará que cualquiera pueda obtener este archivo para saber toda la contraseña

porque mencionamos anteriormente que el hashing es una función de una sola vía e incluso sabemos que el

algoritmo de hash no puede obtener la contraseña de el valor hash.


Salting se usa para almacenar el proceso de la contraseña, es simplemente agregar un valor aleatorio a la

contraseña y luego agregar la contraseña y el valor de Salt en lugar de agregar la contraseña directamente.


Esto nos permitirá:


1- Tenga diferentes valores hash para almacenar si dos usuarios tienen las mismas contraseñas porque el valor

aleatorio agregado a la contraseña será diferente.


2- Disminuirá la posibilidad de que el ataque del arco iris tenga éxito, ya que el valor aleatorio agregado a la

contraseña dificultará a los atacantes crear una tabla de arco iris predecible.


Salting se utiliza de la siguiente manera:


1- El usuario escribe una contraseña.


2- El sistema toma esa contraseña, genera una sal única aleatoria para ese usuario y hace un hash de

concatenación de ambos usando una función de hash que podría ser SHA-2.


3- El hash generado se almacena en la base de datos junto con la sal utilizada. La sal se puede almacenar incluso en texto plano junto a ella.


003213sdbhypkqzdbdplfp.png?cf490-passwor


Esta técnica es considerada una de las más seguras en la actualidad para almacenar contraseñas.



Este es un sitio web de generador de hash y salazón para que pueda familiarizarse con estos conceptos:


http://md5.my-addr.com/md5_salted_hash-md5_salt_hash_generator_tool.php


Saludos.


  • x
  • Opciones:

Gustavo.HdezF
Admin Publicado 2020-2-21 10:01:20
Interesante y completa información sobre la función hash ampliamente utilizada en criptografía. Ya la guarde en mis favoritos. Gracias por compartir. Saludos.
Ver más
  • x
  • Opciones:

Gustavo.HdezF
Admin Publicado 2021-10-28 12:53:29

 

También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                   

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei 

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente 

                                                                                                                  

Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.