Sécurité faible lien

Question

J'ai lu une tonne d'informations sur le hachage et le salage des mots de passe, à faire, ne pas etc. Le problème que je vois est celui-ci: Si un pirate va faire l'effort de voler la liste des hashed mots de passe, n'a-t-il pas accès à toutes les données protégées par mot de passe? C'est comme stocker la combinaison dans un coffre-fort, dans le coffre-fort. Rentrer et voler la combinaison. Si j'étais le voleur, je prendrais l'argent.

Maintenant, une grande entreprise a probablement un serveur distinct juste pour l'authentification. Cependant, le hacker veut des données, pas des mots de passe. Donc, si les deux serveurs sont égaux, je casserais dans celui qui détient les données.

Y a-t-il un défaut de sécurité informatique qui me manque ici? Existe-t-il des manières non-sociales de casser un mot de passe sans le dossier de hachage?

Merci pour votre aide.

--Dave

Answer 1

Vous supposez qu'une telle personne a accès à l'ensemble de la base de données. Ce n'est pas toujours le cas. Ils peuvent avoir trébuché sur une page où les hachages sont accidentellement exposés aux utilisateurs (et n'ont donc pas accès à d'autres parties de la base de données), ou ils peuvent avoir utilisé l'injection SQL pour extraire certaines données de façon limitée (par exemple ils pourraient avoir compris que votre table d'utilisateurs est appelée users, mais pas que votre table de cartes de crédit s'appelle lolcats).

Une autre considération de sécurité est vos employés informatiques internes. Les développeurs ayant un accès légitime à la base de données ne devraient généralement pas voir les mots de passe de tout le monde en clair.

Answer 2

L'une des raisons est que la plupart des utilisateurs ont le même mot de passe pour plusieurs comptes. Un mot de passe non protégé signifie que mes comptes sur d'autres sites pourraient être compromis - d'autant plus que le courrier électronique est un champ commun pour les connexions. En hachant les mots de passe, si un site est volé, je suis protégé contre le piratage simultané de mon compte e-mail.

Answer 3

La plupart des utilisateurs réutilisent les mots de passe sur plusieurs systèmes. Si un pirate pénètre dans votre système, vous ne voulez pas qu'il puisse utiliser vos données pour pénétrer dans les comptes de vos utilisateurs sur différents sites Web. De plus, si vous cryptez des données en utilisant le mot de passe de l'utilisateur et ne stockez qu'un hash du mot de passe, l'attaquant ne pourra rien faire, même s'il récupère toute votre base de données à moins qu'il ne puisse déchiffrer les hachages. Notez que cela rendrait complètement impossible l'implémentation d'une fonctionnalité 'Mot de passe oublié' sauf si vous avez un moyen de déchiffrer les données en utilisant la réponse de sécurité (en lui donnant un second mot de passe)