Aumentare protezione password con SALT o simili

[Alhazred]

E' semplicemente una tecnica che previene gli attacchi a dizionario in caso di furto dei dati criptati.

Se tu riesci a sapere che la mia password criptata con sha1 è "7c6a61c68ef8b9b6b061b28c348bc1ed7921cb53" ti basta mettere la stringa su google per capire che è "passw0rd". Ci sono database enormi con mapping di questo tipo, alcuni sono anche disponibili in rete. [...]

Beh, ma se uno usa password sceme come "passw0rd", "pippo", "123123123"... è giusto che qualcuno gli entri nell'account

D'altra parte, se uno riesce a sapere l'hash di una password, vuol dire che ha avuto accesso al DB e in quel caso importa poco cosa hai usato per criptare le password, avendo il DB esposto si può fare quel che si vuole direttamente sulle tabelle senza necessità di fare il login al sito con un account.

[chumkiu]

D'altra parte, se uno riesce a sapere l'hash di una password, vuol dire che ha avuto accesso al DB e in quel caso importa poco cosa hai usato per criptare le password, avendo il DB esposto si può fare quel che si vuole direttamente sulle tabelle senza necessità di fare il login al sito con un account.

Non è detto che abbiano avuto l'accesso diretto al database. Se hai una vulnerabilità sul tuo sito generalmente essa ti permette un accesso limitato a poche cose (ovviamente dipende dalla vulnerabilità). Quindi sapere l'hash di una password di un utente, magari con privilegi speciali, è un punto di partenza.

Inoltre è anche una garanzia che dai agli utenti. Molti utilizzano la stessa password per altri servizi (o una password simile). IN questo modo scongiuri che accedendo all'hash della pass del tuo sito, entrano anche nella email che utilizza la stessa password. (o comunque una tipologia di password: sapere che usi 3 nomi propri concatenati è una info che mi può tornare utile per configurare un attacco a dizionario mirato).