|
Sistema informatiko batzuek erabiltzaileen pasahitzak [[Testu-fitxategi|testu-fitxategian]] gordetzen dituzte, eta horiekin konparatzen dira erabiltzaileen sarbide saiakerak. Erasotzaile batek pasahitzen barne-biltegi horretara sartzea lortzen badu, pasahitz guztiak -eta, beraz, erabiltzaile-kontu guztiak- arriskuan jarriko dira. Erabiltzaile batzuek pasahitz bera erabiltzen badute beste sistema batzuetako kontuetarako, horiek ere arriskuan jarriko dira.
Sistema seguruenek pasahitz bakoitza kriptografikoki babestutako modu batean biltegiratzen dute, eta, beraz, benetako pasahitza eskuratzeaeskuratzeak zaila izaten jarraituko du sistemarako barne-sarbidea lortzen duen kuxkuxero batentzat; erabiltzaileen sarbide-saiakerak baliozkotzea, berriz, posible da oraindik ere. Seguruenek ez dituzte pasahitzak inola ere gordetzen, noranzko bakarreko deribazio bat baizik, hala nola [[polinomio]] bat, modulu bat edo hash funtzio aurreratu bat .<ref>{{Erreferentzia|izena=Leigh|abizena=Lundin|izenburua=PINs and Passwords, Part 2|url=https://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html|sartze-data=2020-03-30}}</ref>. Roger Needhamek asmatu zuen pasahitzaren "hash" forma bat testu lauan gordetzeko ikuspegia, gaur egun ohikoa dena .<ref>{{Erreferentzia|izena=Angela C.|abizena=Sodan|izenburua=Time-Sharing Systems|argitaletxea=John Wiley & Sons, Inc.|data=2009-03-16|url=http://dx.doi.org/10.1002/9780470050118.ecse437|isbn=0-470-05011-X|sartze-data=2020-03-30|encyclopedia=Wiley Encyclopedia of Computer Science and Engineering}}</ref> <ref>{{Erreferentzia|izena=Jack|abizena=Schofield|izenburua=Roger Needham|hizkuntza=en-GB|data=2003-03-10|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft|aldizkaria=The Guardian|issn=0261-3077|sartze-data=2020-03-30}}</ref>. Erabiltzaile batek horrelako sistema batean pasahitz bat tekleatzen duenean, pasahitzak maneiatzeko softwarea hash kriptografikoko algoritmo baten bidez exekutatzen da, eta erabiltzailearen sarreratik sortutako hash balioa pasahitzen datu-basean gordetako hash balioarekin bat badator, sarbidea baimentzen zaio. Hash balioa, aurkeztutako pasahitzean eta, ezarpen askotan, [[Gatz (Kriptografia)|gatz]] bezala ezagutzen den beste ausazko balio bateanosagarri datzanbat kateerabiltzen batida hash funtzio kriptografikokriptografikoa batsendoago aplikatuz sortzen daizateko.. Gatzaren bidez, erasotzaileek pasahitz komunetarako hash balioen zerrenda erraz eraikitzea saihesten da. <ref>{{Erreferentzia|izenburua=The Bug Charmer: Passwords Matter|data=2012-06-20|url=http://bugcharmer.blogspot.com/2012/06/passwords-matter.html|aldizkaria=The Bug Charmer|sartze-data=2020-03-30}}</ref> [[MD5]] eta [[SHA1]] maiz erabiltzen diren hash funtzio kriptografikoak dira, baina ez dira gomendatzen pasahitzen hasherako, baldin eta eraikuntza handiago baten zati gisa erabiltzen ez badira, [[PBKDF2]]-n bezala. <ref>{{Erreferentzia|izenburua=The Bug Charmer: How long should passwords be?|data=2012-06-20|url=http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html|aldizkaria=The Bug Charmer|sartze-data=2020-03-30}}</ref>
Biltegiratutako datuak -batzuetan—batzuetan "pasahitzen pasahitz-egiaztatzailea" edo "pasahitzen pasahitz-hash" izenekoak-izenekoak— kriptaModular modularCrypt formatuanFormat (Kripta Modular Formatuan) edo RFC 2307 hash formatuan biltegiratzen dira, batzuetan [[Passwd|/etc/passwd]] edo [[Passwd|etc/shadow]] fitxategietan. <ref>{{Erreferentzia|izenburua=passlib.hash - Password Hashing Schemes — Passlib v1.7.1 Documentation|url=https://pythonhosted.org/passlib/lib/passlib.hash.html|aldizkaria=pythonhosted.org|sartze-data=2020-03-30}}</ref>
Pasahitzak biltegiratzeko metodo nagusiak testu laua, hash-fitxategia, hash-fitxategia eta[[Gatz (Kriptografia)|gazia]] eta zifratze itzulgarria dira.<ref>{{Erreferentzia|izena=Dinei|abizena=Florencio|izenburua=An [28]Administrator's Guide to Internet Password Research|hizkuntza=en-US|abizena2=Herley|abizena3=Oorschot|izena2=Cormac|izena3=Paul C. van|data=2014-11-01|url=https://www.microsoft.com/en-us/research/publication/an-administrators-guide-to-internet-password-research/|aldizkaria=Usenix LISA|sartze-data=2020-04-05}}</ref> Erasotzaile batek pasahitzen artxibora sartzea lortzen badu, orduan testu lau gisa biltegiratzen bada, ez da beharrezkoa cracking-a. Hashed bada, baina ez gazia, orduan ahula da ostadar-taulako erasoen aurrean (cracking-a baino eraginkorragoak dira). Enkriptatuta badago modu itzulgarrian, erasotzaileak desenkriptazio-gakoa lortzen badu artxiboarekin batera, ez da beharrezkoa cracking-a; gakoa lortzen ez badu, berriz, ez da posible cracking-a. Beraz, pasahitzak biltegiratzeko formatu komunetatik, pasahitzak gazituak eta "hashed" izan direnean bakarrik da beharrezkoa eta posible cracking-a .<ref>{{Erreferentzia|izena=Dinei|abizena=Florencio|izenburua=An Administrator's Guide to Internet Password Research|hizkuntza=en-US|abizena2=Herley|abizena3=Oorschot|izena2=Cormac|izena3=Paul C. van|data=2014-11-01|url=https://www.microsoft.com/en-us/research/publication/an-administrators-guide-to-internet-password-research/|aldizkaria=Usenix LISA|sartze-data=2020-03-30}}</ref>.
Hash kriptografikoko funtzio bat ondo diseinatuta badago, bideraezina da ikuspuntu konputazionaletik funtzioa alderantzikatzea [[Testu-fitxategi|testu-fitxategiko]] pasahitz bat berreskuratzeko. Hala ere, erasotzaile batek eskura dituen tresnak erabil ditzake pasahitzak asmatzen saiatzeko. Tresna horiek pasahitz posibleen hash bidez funtzionatzen dute, eta asmakizun bakoitzaren emaitza pasahitzaren hash errealarekin alderatzen dute. Erasotzaileak kointzidentzia bat aurkitzen badu, badaki bere suposizioa elkartutako erabiltzailearen benetako pasahitza dela. Pasahitzak deszifratzeko tresnek indar gordinez funtziona dezakete (hau da, karaktereen konbinazio posible guztiak probatuz) edo zerrenda bateko hitz bakoitzaren hash bidez; Interneten hizkuntza askotan aurki daitezke pasahitz posibleen zerrenda zabalak <ref>{{Erreferentzia|izena=Leigh|abizena=Lundin|izenburua=PINs and Passwords, Part 2|url=https://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html|sartze-data=2020-03-30}}</ref> [[Pasahitz krakeatze|Pasahitzak krakeatzeko]] tresnak izateak aukera ematen die erasotzaileei gaizki aukeratutako pasahitzak erraz berreskuratzeko. Bereziki, erasotzaileek azkar berreskura ditzakete pasahitz laburrak, hiztegi hitzak, hiztegi hitzen aldaera sinpleak edo erraz asma daitezkeen patroiak erabiltzen dituzten pasahitzak <ref>{{Erreferentzia|izenburua=Cracking Story - How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords|hizkuntza=en|data=2012-08-28|url=https://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords/|aldizkaria=Thireus' Bl0g|sartze-data=2020-03-30}}</ref> [[DES]] algoritmoaren bertsio aldatua lehen [[Unix]] sistemetan pasahitzen hashing algoritmoaren oinarri gisa erabili zen. 30] Kriptografia-algoritmoak 12 biteko gatz-balioa erabiltzen zuen erabiltzaile bakoitzaren hash bakarra izateko, eta des 25 aldiz itotzen zuen, hash funtzioa motelagoa izan zedin. Bi neurriek asmaketa automatizatuen erasoak zapuztu nahi zituzten <ref>{{Erreferentzia|izenburua=Wayback Machine|data=2003-03-22|url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps|aldizkaria=web.archive.org|sartze-data=2020-03-30}}</ref> Erabiltzailearen pasahitza balio finko bat zifratzeko gako gisa erabiltzen zen. Unixen sistemarik berrienek edo antzekoek (adibidez, [[Linux]] edo BSD sistema ezberdinak) pasahitz seguruagoetako hash algoritmoak erabiltzen dituzte, PBKDF2, bcrypt eta scrypt kasu, gatz handiak eta iterazio kostu edo kopuru doigarri bat dituztenak <ref>{{Erreferentzia|izenburua=USENIX {{!}} The Advanced Computing Systems Association|url=https://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf|aldizkaria=www.usenix.org|sartze-data=2020-03-30}}</ref>. Gaizki diseinatutako hash funtzio batek erasoak egingarriak izatea eragin dezake, pasahitz indartsu bat aukeratuta ere. Ikus hash LM, hedapen handiko eta segurtasunik gabeko adibide baterako. <ref>{{Erreferentzia|url=https://support.microsoft.com/es-es|aldizkaria=support.microsoft.com|sartze-data=2020-03-30}}</ref>
|
