Já mencionamos ataques a hashes; agora, vamos explorar mais detalhes e como nos defender contra esses ataques. Uma aplicação crucial de funções hash criptográficas é a autenticação, especialmente em sistemas de login. Ao digitar seu e-mail e senha, o sistema precisa verificar se a senha está correta. No entanto, armazenar senhas em texto simples é inseguro. Em vez disso, sistemas de autenticação armazenam hashes das senhas, garantindo maior segurança.
No contexto da autenticação, se as senhas estivessem armazenadas em texto simples, um invasor que obtivesse acesso ao sistema poderia facilmente comprometer todas as contas. Armazenando apenas hashes, mesmo se o invasor obtiver acesso, só encontrará valores hash sem utilidade prática. No entanto, eles podem realizar ataques de força bruta, tentando várias entradas até encontrar uma correspondência com os hashes roubados.
Um ataque de força bruta é tecnicamente inevitável, dependendo do tempo e dos recursos do invasor. Para mitigar isso, adicionamos obstáculos, tornando o ataque praticamente inviável em termos de tempo ou tecnologia. Um método comum é iterar a função hash várias vezes, aumentando o custo computacional de cada tentativa.
Rainbow tables são usadas por invasores para acelerar a recuperação de senhas de hashes roubados. Essas tabelas pré-computadas armazenam pares de valores de senha e hash. Para se proteger contra isso, introduzimos o conceito de "sal". Um sal é um dado aleatório adicionado à senha antes do hash, gerando um hash exclusivo. Isso significa que um invasor precisaria calcular rainbow tables para cada possível valor de sal, tornando os requisitos computacionais praticamente inviáveis.
O sal é essencial para a segurança. Não se trata de sal de cozinha, mas de um dado aleatório adicionado à senha para criar um hash único. Sais de alta numeração, especialmente com bits suficientes, criam obstáculos significativos para ataques com rainbow tables. O uso de sal, combinado com funções hash, contribui para uma segurança robusta no armazenamento de senhas.
0 Comentários