这是关于一个 Web 应用程序,其中用户必须使用他们的个人电子邮件作为 ID 以及他们个人选择的密码登录。
如果攻击者以某种方式获得了对带有电子邮件地址的所有 PBKDF2 哈希列表的凭证存储的访问权限,那么这会在多大程度上被恶意使用?
如果攻击者获得了对 PBKDF2 哈希的访问权限,他们会怎么做?
信息安全
密码
密码学
哈希
pbkdf2
2021-09-02 05:09:43
2个回答
攻击者必须破解哈希才能获得原始密码。由于 PBKDF2 对同一个哈希函数进行多次迭代,因此破解它们的速度会明显变慢。最终结果是,即使是较弱的密码也不太可能被泄露,从而导致凭据列表中成功破解密码的百分比显着降低。
假设攻击者获得了盐和哈希,他们可以针对哈希列表运行已知的先前使用的密码列表,并获取大多数用户的密码,因为大多数用户使用的密码已经被明文在某处妥协。他们无法恢复以前从未使用过的精心挑选的长密码。