Хеш-функцияларға шабуыл және қорғаныс механизмдерін салыстыру
Хештеу, шабуылдар және қорғаныс туралы білуге қажетті құралдар мен ақпарат
Хештеу — деректерді бір бағытта тұрақты ұзындықтағы жолға түрлендіру. Хешті кері қайтару мүмкін емес. Сервер құпия сөзді емес, оның хешін сақтайды.
Барлық мүмкін комбинацияларды ретімен тексеру. 100% кепілдік береді, бірақ ұзын құпия сөздер үшін өте баяу. 6 символ = 2 миллиард комбинация.
Ағып кеткен танымал құпия сөздерді тексереміз: «password», «123456», «admin». Жылдам, бірақ бірегей құпия сөздерге қарсы пайдасыз.
Алдын ала есептелген «хеш → құпия сөз» кестесі. O(1) уақытта іздейміз. Тұзбен (Salt) толығымен жойылады.
Тұз — хештеу алдында қосылатын кездейсоқ жол. Бірдей құпия сөздер әртүрлі тұзбен мүлдем басқа хештер береді.
Bcrypt хештеуді әдейі баяулатады. cost=12 кезінде бір хештеу ~250ms алады. Брутфорс мыңдаған есе баяулайды.