#cyber_security_awarness ¿Qué es salting?

99 0 0 0

Para entender el termino salting necesitamos primero saber qué es el hash?


En criptografía, el hash es una función unidireccional que toma una entrada (datos) y la salida es un valor fijo llamado valor hash o suma de comprobación ... El tamaño del valor hash depende del algoritmo de función hash utilizado. Cualquier cambio en los datos de entrada cambiará el valor Hash incluso si este cambio es de un bit.


Nota: la función hash es unidireccional, que es la diferencia entre hash y cifrado, que es una función bidireccional, lo que significa que puede conocer el valor de entrada de la salida que no se puede hacer con hash.



Ejemplo de algoritmos de hash so****5, SHA1, SHA2


002952drnrbdx2irnbrnxa.png?233653y3szfzs

143953uvlst97gl9bbuttu.png?143934kv940gz

Nota: MD5 y sha1 son algoritmos débiles, ya que son vulnerables a la vulnerabilidad de colisión. La vulnerabilidad de colisión es simplemente que dos entradas diferentes pueden tener el mismo valor hash de resultado que no se acepta ... Se recomienda usar SHA2.


144244i8olpx2ri8lawx0y.png?sa.PNG


Ejemplos de uso de Hashing:


1- Se utiliza para verificar la integridad de los datos enviados mediante el hash de los datos y calcular el valor de hash y luego enviar los datos con este valor de hash al receptor. El receptor recibirá los datos y calculará el hash con el mismo algoritmo y luego comparará resultado hash valor con el valor hash recibido y si el resultado es el mismo podemos confirmar que estos datos no cambiaron durante la transmisión


144459gjajc4ynzhbghtac.png?144431wom6ui0


2- Los valores de hash se utilizan para verificar la integridad de las fuentes de software descargadas y para asegurarse de que si hay malware en estas fuentes ... Cuando descarga software de un sitio web legítimo, puede encontrar el valor de hash de este software para que pueda Asegúrese de que este software sea legítimo cuando lo descargue


144916fms2w6gw04gx7m27.png?144855qup60tg


3- Cuando un dispositivo o sistema operativo utiliza contraseñas para autenticar a los usuarios ... no almacena la contraseña en sí, sino que almacena el valor hash de la contraseña ... Cuando el usuario autentica y escribe su contraseña, el valor hash de esta contraseña se calcula luego se compara con los valores hash de la contraseña almacenada y, si coincide, la autenticación se realiza correctamente.




Nota: en Linux, las contraseñas se almacenan como un hash en / etc / shadow y en windows, se almacena en el archivo SAM.




Entonces, ¿qué es salazón y por qué lo necesitamos? Este es nuestro tema principal :-)




Algunos ataques se utilizan para autenticar usuarios no legítimos para acceder a recursos a los que no tienen derechos de acceso. Un ataque como el ataque de fuerza bruta se usa para probar todas las contraseñas posibles hasta que una contraseña se autentique correctamente. Utiliza la tabla de diccionarios o la lista de contraseñas para intentarlo todo.


150350jh22212dd2yqp2hl.png?Screenshot.PN

Otro se llama el ataque del arco iris, que es similar al ataque de fuerza bruta, pero utiliza una tabla del arco iris en lugar de una lista de contraseñas ... La tabla del arco iris es simplemente los valores hash de una lista de contraseñas que se comparan directamente con la contraseña almacenada En un sistema o dispositivo.




Nota: existen diccionarios de contraseñas populares y las tablas de arco iris en Internet se pueden usar con toold como aircrack o john the ripper en kali linux para probar estos ataques.


Ejemplo:

Usuario Contraseña

usuario1 contraseña123

usuario2 contraseña345


Si tuviéramos una tabla de diccionarios sería así (password123, password345, password678, password666, password2323, etc.)


La tabla del arco iris será una lista de valores hash de todas estas contraseñas.



Como se mencionó anteriormente en los sistemas operativos o dispositivos, las contraseñas locales se almacenan en archivos específicos, pero no se guardan en formato de texto plano. En su lugar, los valores de hash de estas contraseñas se almacenan. Esto evitará que cualquiera pueda obtener este archivo para saber toda la contraseña porque mencionamos anteriormente que el hashing es una función de una sola vía e incluso sabemos que el algoritmo de hash no puede obtener la contraseña de el valor hash.



Salting se usa para almacenar el proceso de la contraseña, es simplemente agregar un valor aleatorio a la contraseña y luego agregar la contraseña y el valor de Salt en lugar de agregar la contraseña directamente ... Esto nos permitirá:


1- Tenga diferentes valores hash para almacenar si dos usuarios tienen las mismas contraseñas porque el valor aleatorio agregado a la contraseña será diferente.


2- Disminuirá la posibilidad de que el ataque del arco iris tenga éxito, ya que el valor aleatorio agregado a la contraseña dificultará a los atacantes crear una tabla de arco iris predecible.


Salting se utiliza de la siguiente manera:


1- El usuario escribe una contraseña.


2- El sistema toma esa contraseña, genera una sal única aleatoria para ese usuario y hace un hash de concatenación de ambos usando una función de hash que podría ser SHA-2.


3- El hash generado se almacena en la base de datos junto con la sal utilizada. La sal se puede almacenar incluso en texto plano junto a ella.


003213sdbhypkqzdbdplfp.png?cf490-passwor


Esta técnica es considerada una de las más seguras en la actualidad para almacenar contraseñas.



Este es un sitio web de generador de hash y salazón para que pueda familiarizarse con estos conceptos:


http://md5.my-addr.com/md5_salted_hash-md5_salt_hash_generator_tool.php


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba