web-dev-qa-db-ja.com

PBKDF2ハッシュにアクセスした場合、攻撃者は何をすることができますか?

これは、ユーザーが個人の電子メールをIDとしてログインし、パスワードを個人的に選択したWebアプリケーションに関するものです。

攻撃者が何らかの方法で電子メールアドレスを含むすべてのPBKDF2ハッシュのリストを含む資格情報ストアにアクセスした場合、どの程度悪意を持って使用される可能性がありますか?

passwordscryptographyhashpbkdf2
7
deltzy

攻撃者は、元のパスワードを取得するためにハッシュを解読する必要があります。 PBKDF2は同じハッシュ関数の複数の反復を行うため、それらをクラックする動作は大幅に遅くなります。最終的には、弱いパスワードが明らかにされる可能性が低くなり、資格情報リスト内の正常に解読されたパスワードの割合が大幅に低下します。

9
forest

攻撃者がソルトとハッシュを取得したと想定すると、ハッシュのリストに対して既知の以前に使用されたパスワードのリストを実行し、ほとんどのユーザーのパスワードを取得する可能性があります。どこかに妥協。彼らは、以前に使用されたことのない長い選択されたパスワードを回復することができませんでした。

4
Mike Scott