Utilidad del salt

[Ethicalsk]

Buenas, tengo dudas respecto a la utilidad de usar salt junto con la contraseña antes de enviar al cipher. Según leí los caracteres aleatorios que se concatenan al password sirven para aumentar la longitud final y hacer que sea mas dificil realziar ataques de fuerza bruta o con tablas rainbow. ya que si la cotnraseña es de 8 caracteres por ejemplo y el salt de 8, entonces el string final que el atacante tendría que atacar sería de 16 caracteres. Ésto solo tendría sentido según mi, si el hash no se almacenara en la misma base de datos, ya que por ejemplo en joomla el salt se almacena junto con el hash del password con ":" de separador. No entiendo la utilidad del salt en éstos casos ya que el atacante con un script puede concatenar las contraseñas del diccionario con el salt antes de pasarlo por el cipher, y sería lo mismo... Espero que me corrijan ya que seguramente hay algo que no estoy teniendo en cuenta o tal vez esté equivocado.

Saludos!

[animanegra]

El salt no se utiliza para aumentar la longitud, se usa simplemente para que si sacas mediante fuerza bruta las contraseñas tengas que recorrerte todo el diccionario con cada usuario.

Aunque el salt sea público, se añade antes de hacer el hash que toque, de manera que si quieres saber si el hash almacenado coincide con el hash de alguna palabra del archivo de diccionario que tienes tendras que añadir dicho salt antes de hacer el hash.

Como cada usuario tiene distinto salt, implica que en lugar de recorrer el diccionario una vez comparando con el hash de cada usuario tienes que recorrer el diccionario con el valor de salt de cada usuario multiplicando el numero de veces que tienes que hacer la pasada a dicho diccionario y por ende multiplicando el tiempo que tardas de manera proporcional al numero de usuarios.

¿Se ha entendido?

[Ethicalsk]

Se entendió a la perfección! Muchas gracias animanegra

[patilanz]

https://crackstation.net/hashing-security.htm