0101OSX
13-01-2014, 17:19
Innanzitutto preciso che non intendo e non sono in grado di "rubare database" o altro ma questa domanda la faccio solo per capire come funziona un login ad un sito e per capire come funzionano e a cosa servono gli hash. Lo specifico perché mi è stata chiusa una discussione senza una spiegazione, e non vorrei che il motivo sia un fraintendimento della mia domanda
ciao, so che gli hash md5 e sha sono invertibili, ovvero una volta convertita una stringa on uno di questi hash non si può tornare indietro alla parola originaria, e informandomi ho scoperto anche che gli hash praticamente si usano per non salvare le password in chiaro, e che ad esempio un sito in cui mi loggo, invia la mia password criptata ad esempio in AES poi la decripta fa l'hash della parola che ho inviato al form e lo comprara con l'hash che c'è nel database, se corrisponde mi loggo. Quindi praticamente se io ho l'hash ho la password giusto?
Allora la domanda che mi sorge spontanea è se per esempio un hacker bucasse un sito e ne ottengo il database con i nomi utente e le password sotto forma di hash..se modificassi i file che controllano il processo di login "iniettando" l'hash potrei loggarmi??...anche perché ad esempio io una volta inserendo un hash SHA sono riuscito a loggarmi in un router wifi, perché l'avrá comparato con l'hash che aveva in memoria ed era identico. Ovviamente nel processo bisogna bypassare la prima fase altrimenti si creerebbe l'hash dell'hash. Correggetemi se sbaglio?
ciao, so che gli hash md5 e sha sono invertibili, ovvero una volta convertita una stringa on uno di questi hash non si può tornare indietro alla parola originaria, e informandomi ho scoperto anche che gli hash praticamente si usano per non salvare le password in chiaro, e che ad esempio un sito in cui mi loggo, invia la mia password criptata ad esempio in AES poi la decripta fa l'hash della parola che ho inviato al form e lo comprara con l'hash che c'è nel database, se corrisponde mi loggo. Quindi praticamente se io ho l'hash ho la password giusto?
Allora la domanda che mi sorge spontanea è se per esempio un hacker bucasse un sito e ne ottengo il database con i nomi utente e le password sotto forma di hash..se modificassi i file che controllano il processo di login "iniettando" l'hash potrei loggarmi??...anche perché ad esempio io una volta inserendo un hash SHA sono riuscito a loggarmi in un router wifi, perché l'avrá comparato con l'hash che aveva in memoria ed era identico. Ovviamente nel processo bisogna bypassare la prima fase altrimenti si creerebbe l'hash dell'hash. Correggetemi se sbaglio?