#130 El salt usado en el hasheo de la contraseña está incluido en el listado en el campo user_pass entre el algoritmo usado y el hash de la contraseña, separado por ":".
Para contraseñas cortas y sencillas, es factible el uso de fuerza bruta si se concatenan salt y contraseña. Con una RTX 3090, vuela:
Hashmode: 1420 - sha256($salt.$pass)
Speed.#_1.........: 8748.8 MH/s (78.38ms) @ Accel:16 Loops:512 Thr:1024 Vec:1
De ahí la necesidad de establecer contraseñas muy largas, complejas y usando más cosas que números y letras. Si te acuerdas de la contraseña, malo, mejor usar un gestor de contraseñas siempre.
#33 Zen ha hecho un cambio de política y sus servicios, aunque sigue siendo gratuita para poco tráfico, es de suscripción. Si no hay migrado a suscripción te va s rechazar un monton de correo legítimo
#10 menos mal que alguien lo dice. No tiene sentido depender solo de una clave larga como si se fueran a almacenar con un hash de mierda.
Primero: las claves se deben guardar con una función de derivación de claves como PBKDF2 donde se realizan cientos de pases en cada intento, con lo que los tiempos para realizar un ataque de fuerza bruta se elevan exponencialmente y con 8 caracteres suele ser más que suficiente para que sea inviable buscar una colisión en tiempo. Aparte que estamos hablando de algoritmos para los que no se ha encontrado colisión todavía como sha2
Segundo: el problema de las claves repetidas no son las rainbow tables, son que te metan un maleare en el pc y te roben la clave (un rat, una extensión del navegador, etc) junto con unas credenciales como tu email, porque la gente que reciba esas claves (o quién compre esos datos) probará esa combinación mail/clave en otros servicios, y si usas la misma ya estás jodido.
Tercero: obligar a usar claves de 15 o 20 caracteres a usuarios no solo es inútil por lo mencionado sino que puede ser contraproducente por lo visto en los comentarios anteriores. La gente tiene una memoria limitada así que usa patrones fáciles de deducir , lo cual dado que te van a robar la clave tarde o temprano por otros medios que no sean crackeando un hash (lo dichoz un maleare, o un servicio de.mierda que no cifra las claves etc) es más probable que te roben el resto sacando el patrón o por usar la misma en varios .
Dicho esto, lo que es recomendable es : usar un gestor de contraseñas con una clave robusta, cambiarla periódicamente y el resto de claves generarlas en el gestor (realmente una vez las generas te da igual la longitud, así que ahí si es viable generarlas de la longitud que te de la gana por si algún servicio usa un mal cifrado para almacenarla) y sobre todo, lo más importante hoy en día , *activar el segundo factor en todo lo posible* y si puede ser algo tipo TOTP que se genere localmente mejor, para no depender de factores externos como tú n de teléfono u otras cuentas
Yo me he acostumbrado a usar hashpass, generación de contraseñas stateless basadas en nombre, dominio y password maestra. Ni siquiera tiene una base de datos que se pueda llevar un atacante y romper.
#10 Me gustaría ver los números cuando el algoritmo es bcrypt o yescrypt
#49 pero eso de la RAE no es lo que ha dicho el otro usuario (que en realidad no significa nada, porque es una serie de palabras muy bonitas vacías.....)
#2 me da que cada IP genera aproximadamente 8700 peticiones por segundo, cosa que un portatil convencional dudo que llege a esos numeros, o me faltan IPs o esas IPs corresponden a servidores con mas capacidad de la normal
#15 Si, se ve que es más importante darle patadas a un balón que ser un Fray Luis de León, Unamuno, Abraham Zacut, Carmen Martín Gaite, Diego Pisador, Basilio Martín Patino y otros muchos..