Le grain de sel, sert théoriquement à protéger un visiteur des attaques de type "Man in the middle" (un pirate potentiel obtiendrait les données que vous envoyer vers un serveur) en pré/sufixant le mot de passe de "parasites" avant qu'il soit crypté et envoyé.
Seulement si un pirate connait le grain de sel ainsi que le résultat après encryption, ce dernier peut construire un dictionnaire limité où sont mis en correspondance des chaînes de caractères ajustées avec le même grain de sel et le résultat de leur encryption.
Si dans ce dictionnaire il retrouve plusieurs chaînes de caractères dont les résultats encrypté sont égaux à celui que le visiteur avait généré , il pourra supposé que le mot de passe du visiteur est bien parmis ces chaînes de caractères.
Si ce pirate mets la main sur une nouvelle encryption de ce même mot de passe avec un grain de sel différent, il lui suffirait alors de tester si pour un des mots de passes qu'il envisageait précédemment comme étant le bon, le résultat de la nouvelle encryption correspond bel et bien.
Vous pensez que ce grain de sel apporte un risque ou alors qu'en vertu des hypothèses données, le risque est déjà dépassé car l'ampleur de l'incident est déjà trop importante ?
Partager