[Pregunta]: ¿Existe un problema real si muestro esto?

Iniciado por Leguim, 6 Agosto 2020, 00:27 AM

0 Miembros y 1 Visitante están viendo este tema.

Leguim

Hola,

estoy cifrando mis contraseñas con el siguiente hash...

Código (php) [Seleccionar]

$2y$10$..Hx9kyFSNiMn/O7btOsKeYYjOwhSCtuzdohvqcDpEhcqCuTzm06u


Tengo entendido de varias fuentes que este tipo de hasheo es uno de los más seguro que existe actualmente... mi pregunta es si en algun momento muestro un hasheo en la página donde cualquier usuario pueda ver el hash existe algun riesgo real?

debo aclarar que no voy a estar mostrando el hasheo de una contraseña de algún usuario, eso nunca... pero me refiero a que digamos que hasheo la palabra "hola" => y si yo muestro el hasheo en la página existe alguna "vulnerabilidad" a simple vista nose si representa una vulnerabilidad real.

MinusFour

Cita de: MiguelCanellas en  6 Agosto 2020, 00:27 AM
Hola,

estoy cifrando mis contraseñas con el siguiente hash...

Código (php) [Seleccionar]

$2y$10$..Hx9kyFSNiMn/O7btOsKeYYjOwhSCtuzdohvqcDpEhcqCuTzm06u


Tengo entendido de varias fuentes que este tipo de hasheo es uno de los más seguro que existe actualmente... mi pregunta es si en algun momento muestro un hasheo en la página donde cualquier usuario pueda ver el hash existe algun riesgo real?

debo aclarar que no voy a estar mostrando el hasheo de una contraseña de algún usuario, eso nunca... pero me refiero a que digamos que hasheo la palabra "hola" => y si yo muestro el hasheo en la página existe alguna "vulnerabilidad" a simple vista nose si representa una vulnerabilidad real.

Depende... Yo quiero creer que estás haciendo un hash de información sensible pero si estás de troll haciendo hash de cosas como "hola" para quemar ciclos de algunos "crackers" pues entonces realmente no importa. Si es información sensible no vas a querer mostrar el hash nunca. ¿Pasa algo si lo muestras? Pues depende de muchos factores... Algo como "hola" estoy seguro que si lo rompen fácilmente con un costo de 10. En especial si usarán un ataque por diccionario.

@XSStringManolo

Qué no se pueda descifrar, no significa que no se pueda cifrar.

No dices como hasheas asique dificil.

Si usas vectores de inicialización, csprng y otras técnicas debería ser seguro mostrar los hashes. Aunque obviamente no recomendado.

ThunderCls

Cita de: MiguelCanellas en  6 Agosto 2020, 00:27 AM
Hola,

estoy cifrando mis contraseñas con el siguiente hash...

Código (php) [Seleccionar]

$2y$10$..Hx9kyFSNiMn/O7btOsKeYYjOwhSCtuzdohvqcDpEhcqCuTzm06u


Tengo entendido de varias fuentes que este tipo de hasheo es uno de los más seguro que existe actualmente... mi pregunta es si en algun momento muestro un hasheo en la página donde cualquier usuario pueda ver el hash existe algun riesgo real?

debo aclarar que no voy a estar mostrando el hasheo de una contraseña de algún usuario, eso nunca... pero me refiero a que digamos que hasheo la palabra "hola" => y si yo muestro el hasheo en la página existe alguna "vulnerabilidad" a simple vista nose si representa una vulnerabilidad real.

Hasta donde se no existe ninguna vulnerabilidad, al menos publica, de BCrypt/PBKDF2 con la que se pueda llegar a "crackear" un hash. Solo ataques de fuerza bruta y diccionario son actualmente "viables", especialmente usando FPGAs. De igual manera pienso que este tipo de informacion no deberia ser del dominio del usuario pero estrictamente del sistema, asi que en lo personal evitaria mostrarla
Saludos
-[ "...I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/