Я получил расшифровку хэша пароля?

Question

Я новичок в безопасности и пытался узнать, как я могу взломать базы данных моего собственного пользователя.У меня есть соль пользователя, хэши паролей и имя пользователя.Хэш пароля SHA-256 вычисляется из объединения трех строк, то есть одной постоянной строки potPlantSalt, пароля и соли.Вывод SHA-256 был преобразован в шестнадцатеричный формат и обрезан до 32 символов перед сохранением в базе данных в виде строки.

truncate (hexstring (SHA256 ("potPlantSalt" + пароль + соль)))

У меня есть данные, такие как: имя пользователя: макс хэш пароля: 2b1ac087bd54ea9dcbfba2c3e63b2335 соль: 5aa8698c4022fe1d

Как узнать пароль, декодированный пользователем выше?

Answer 1

SHA256 является односторонней функцией , это означает, что с учетом выходных данных SHA256 очень, очень сложно и занимает много времени для вычисления входных данных.Так много времени, что это непрактично на текущем оборудовании.

Так что вместо этого вы должны использовать атаку грубой силой : хешировать миллионы потенциальных паролей, пока не найдете тот, который выдает тот же хеш, что и сохраненныйв базе данных.Обратите внимание, что это не обязательно должен быть исходный пароль ( коллизия хешей ).

Если предположить, что пользователь не использовал комбинацию случайных символов, пространство поиска можно уменьшить с помощьюa Атака по словарю .

Вы можете сократить время вычислений, используя больше места для хранения с Радужными таблицами .