Câu hỏi của tôi là, tin tặc chỉ có thể làm điều này nếu anh ta biết cách thức hoạt động của hàm băm (được sử dụng bởi ngân hàng). Rõ ràng là anh ta không thể tạo ra hàm băm của các mật khẩu phổ biến nếu anh ta không biết cách thức hoạt động của hàm băm mà ngân hàng sử dụng. Vậy thì tại sao băm mà không có muối lại là một mối nguy hiểm về bảo mật? Điều này có nghĩa là tất cả các hàm băm hoạt động giống nhau?
Tiền đề của bạn là sai khi bạn cho rằng các ngân hàng an toàn trước việc hack và giữ mật khẩu băm khỏi những kẻ tấn công. Nếu các ngân hàng sử dụng băm mật khẩu mà không có muối thì khả năng quản lý rủi ro của họ rất tệ, họ cần phải kích hoạt các công cụ phân tích rủi ro.
Vì vậy, khi ngân hàng sử dụng hàm băm mật khẩu mà không có muối, thì việc họ bị tấn công là vấn đề thời gian và hầu như tất cả các mật khẩu đều dễ dàng bị tiết lộ.
Hy vọng rằng hệ thống ngân hàng không chỉ dựa vào mật khẩu vì rủi ro của chúng cao hơn. Chúng thường yêu cầu xác thực hai yếu tố, mật khẩu một lần, v.v.
Và hãy nhớ rằng, chúng tôi không sử dụng hàm băm mật mã làm hàm băm mật khẩu vì chúng được thiết kế để nhanh và an toàn. Mặt khác, băm mật khẩu hiện đại yêu cầu, muối duy nhất và;
- lặp lại có thể kiểm soát để giảm sự song song lớn của kẻ tấn công,
- bộ nhớ cao để giảm mức sử dụng lớn của môi trường giống như ASIC/GPU và
- chủ đề điều chỉnh để giảm song song.
Một số thuật toán băm mật khẩu tốt mà bạn có thể muốn xem là băm Argon2, Scrypt và Balloon. Cuối cùng, không nên băm mật khẩu mà không có muối duy nhất. Nếu được sử dụng thì Rainbow Tables chính là những con quái vật đang ẩn nấp trên con phố tiếp theo...