elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Cifrar documentos-carpetas con GnuPG en Linux y Windows


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  [Pregunta]: ¿Existe un problema real si muestro esto?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Pregunta]: ¿Existe un problema real si muestro esto?  (Leído 473 veces)
MiguelCanellas


Desconectado Desconectado

Mensajes: 579



Ver Perfil
[Pregunta]: ¿Existe un problema real si muestro esto?
« en: 6 Agosto 2020, 00:27 »

Hola,

estoy cifrando mis contraseñas con el siguiente hash...

Código
  1. $2y$10$..Hx9kyFSNiMn/O7btOsKeYYjOwhSCtuzdohvqcDpEhcqCuTzm06u
  2.  

Tengo entendido de varias fuentes que este tipo de hasheo es uno de los más seguro que existe actualmente... mi pregunta es si en algun momento muestro un hasheo en la página donde cualquier usuario pueda ver el hash existe algun riesgo real?

debo aclarar que no voy a estar mostrando el hasheo de una contraseña de algún usuario, eso nunca... pero me refiero a que digamos que hasheo la palabra "hola" => y si yo muestro el hasheo en la página existe alguna "vulnerabilidad" a simple vista nose si representa una vulnerabilidad real.


En línea

MinusFour
Colaborador
***
Conectado Conectado

Mensajes: 4.897


I'm fourth.


Ver Perfil WWW
Re: [Pregunta]: ¿Existe un problema real si muestro esto?
« Respuesta #1 en: 6 Agosto 2020, 01:35 »

Hola,

estoy cifrando mis contraseñas con el siguiente hash...

Código
  1. $2y$10$..Hx9kyFSNiMn/O7btOsKeYYjOwhSCtuzdohvqcDpEhcqCuTzm06u
  2.  

Tengo entendido de varias fuentes que este tipo de hasheo es uno de los más seguro que existe actualmente... mi pregunta es si en algun momento muestro un hasheo en la página donde cualquier usuario pueda ver el hash existe algun riesgo real?

debo aclarar que no voy a estar mostrando el hasheo de una contraseña de algún usuario, eso nunca... pero me refiero a que digamos que hasheo la palabra "hola" => y si yo muestro el hasheo en la página existe alguna "vulnerabilidad" a simple vista nose si representa una vulnerabilidad real.

Depende... Yo quiero creer que estás haciendo un hash de información sensible pero si estás de troll haciendo hash de cosas como "hola" para quemar ciclos de algunos "crackers" pues entonces realmente no importa. Si es información sensible no vas a querer mostrar el hash nunca. ¿Pasa algo si lo muestras? Pues depende de muchos factores... Algo como "hola" estoy seguro que si lo rompen fácilmente con un costo de 10. En especial si usarán un ataque por diccionario.


En línea

@XSStringManolo
Colaborador
***
Desconectado Desconectado

Mensajes: 2.072


Turn off the red ligth


Ver Perfil WWW
Re: [Pregunta]: ¿Existe un problema real si muestro esto?
« Respuesta #2 en: 6 Agosto 2020, 02:00 »

Qué no se pueda descifrar, no significa que no se pueda cifrar.

No dices como hasheas asique dificil.

Si usas vectores de inicialización, csprng y otras técnicas debería ser seguro mostrar los hashes. Aunque obviamente no recomendado.
En línea

ThunderCls


Desconectado Desconectado

Mensajes: 417


Coder | Reverser | Gamer


Ver Perfil WWW
Re: [Pregunta]: ¿Existe un problema real si muestro esto?
« Respuesta #3 en: 6 Agosto 2020, 03:21 »

Hola,

estoy cifrando mis contraseñas con el siguiente hash...

Código
  1. $2y$10$..Hx9kyFSNiMn/O7btOsKeYYjOwhSCtuzdohvqcDpEhcqCuTzm06u
  2.  

Tengo entendido de varias fuentes que este tipo de hasheo es uno de los más seguro que existe actualmente... mi pregunta es si en algun momento muestro un hasheo en la página donde cualquier usuario pueda ver el hash existe algun riesgo real?

debo aclarar que no voy a estar mostrando el hasheo de una contraseña de algún usuario, eso nunca... pero me refiero a que digamos que hasheo la palabra "hola" => y si yo muestro el hasheo en la página existe alguna "vulnerabilidad" a simple vista nose si representa una vulnerabilidad real.

Hasta donde se no existe ninguna vulnerabilidad, al menos publica, de BCrypt/PBKDF2 con la que se pueda llegar a "crackear" un hash. Solo ataques de fuerza bruta y diccionario son actualmente "viables", especialmente usando FPGAs. De igual manera pienso que este tipo de informacion no deberia ser del dominio del usuario pero estrictamente del sistema, asi que en lo personal evitaria mostrarla
Saludos
En línea

-[ "…I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines