0101OSX
18-01-2014, 17:27
(Spero che ora la sezione sia quella giusta)
Preciso che non intendo e non sono in grado di "rubare database" o altro ma questa domanda la faccio solo per capire come funziona un login ad un sito e per capire come funzionano e a cosa servono gli hash. Lo specifico perché mi è stata chiusa una discussione senza una spiegazione, e non vorrei che il motivo sia un fraintendimento della mia domanda
So che gli hash md5 e sha sono invertibili, ovvero una volta convertita una stringa on uno di questi hash non si può tornare indietro alla parola originaria, e informandomi ho scoperto anche che gli hash praticamente si usano per non salvare le password in chiaro, e che ad esempio un sito in cui mi loggo, invia la mia password criptata ad esempio in AES poi la decripta fa l'hash della parola che ho inviato al form e lo comprara con l'hash che c'è nel database, se corrisponde mi loggo. Quindi praticamente se io ho l'hash ho la password giusto?
Allora la domanda che mi sorge spontanea è se per esempio un persona avesse il database con i nomi utente e le password sotto forma di hash..se modificasse i file che controllano il processo di login "iniettando" l'hash potrebbe loggarsi??...anche perché ad esempio io una volta inserendo un hash SHA sono riuscito a loggarmi nel mio router wifi, perché l'avrá comparato con l'hash che aveva in memoria ed era identico. Ovviamente nel processo bisogna bypassare la prima fase altrimenti si creerebbe l'hash dell'hash. Correggetemi se sbaglio? e se così fosse allora la sicurezza di usare degli hash dove starebbe?
Preciso che non intendo e non sono in grado di "rubare database" o altro ma questa domanda la faccio solo per capire come funziona un login ad un sito e per capire come funzionano e a cosa servono gli hash. Lo specifico perché mi è stata chiusa una discussione senza una spiegazione, e non vorrei che il motivo sia un fraintendimento della mia domanda
So che gli hash md5 e sha sono invertibili, ovvero una volta convertita una stringa on uno di questi hash non si può tornare indietro alla parola originaria, e informandomi ho scoperto anche che gli hash praticamente si usano per non salvare le password in chiaro, e che ad esempio un sito in cui mi loggo, invia la mia password criptata ad esempio in AES poi la decripta fa l'hash della parola che ho inviato al form e lo comprara con l'hash che c'è nel database, se corrisponde mi loggo. Quindi praticamente se io ho l'hash ho la password giusto?
Allora la domanda che mi sorge spontanea è se per esempio un persona avesse il database con i nomi utente e le password sotto forma di hash..se modificasse i file che controllano il processo di login "iniettando" l'hash potrebbe loggarsi??...anche perché ad esempio io una volta inserendo un hash SHA sono riuscito a loggarmi nel mio router wifi, perché l'avrá comparato con l'hash che aveva in memoria ed era identico. Ovviamente nel processo bisogna bypassare la prima fase altrimenti si creerebbe l'hash dell'hash. Correggetemi se sbaglio? e se così fosse allora la sicurezza di usare degli hash dove starebbe?