می گوید ما یک اوراکل داریم که مهاجم می تواند به همان اندازه که بخواهد، به همان اندازه استفاده کند. مهاجم می تواند یک رمز عبور غیر مجاز را به این اوراکل ارسال کند. اوراکل رمز عبور با استفاده از sha256 (رمز عبور + فلفل) را هش می دهد و این را به مهاجم ارسال می کند.
ارزش فلفل هرگز تغییر نمی کند (این یک نمک ثابت است).
آیا راهی وجود دارد که مهاجم می تواند فلفل را حدس بزند؟ چگونه حمله کننده با اوراکل تماس بگیرد تا فلفل را دریافت کند؟
حمله مشابهی در صورت استفاده از اوراکل از hash_hmac ('sha256'، رمز عبور، فلفل) روش به جای ساده sha256 ( رمز عبور + فلفل) ؟ آیا این امر برای sha256 (فلفل + رمز) به جای sha256 (رمز + فلفل) ؟
من سوال را دیده ام آیا می توانم نمک را در صورت داشتن رمز عبور هش و اصلی؟ اما وجود دارد، ما یک شرط دیگر داریم: مهاجم می تواند همانند بسیاری از هش؛ زوج اصلی آنها می خواهند فلفل ثابت را بازیابی کنند، بنابراین این شرایط ممکن است خیلی تغییر کند؟
حدس من این است که می توان فلفل را بازیابی کرد، اما مطمئن نیستم که چگونه انجام شود. فرآیند بازیابی آن بسیار مهم نیست، اما من می خواهم اثبات کنم که چنین پروسه ای وجود دارد و انجام می دهد.
