У меня есть сайт PHP, на котором хранятся пароли пользователей, зашифрованные и соленые.Могу ли я опубликовать соль пароля?
Используемый метод crypt($password, $salt)
. Соль генерируется случайным образом.
Результат нечто вроде
$2a$08$saltsaltsaltsaltsaltsaltsaHashHashHashHashHashHashHash
Теперь я должен войти в эту базу данных, используя что-то другое, чем PHP, например, .СЕТЬ. Проблема сейчас: crypt()
не существует в .NET.
Теперь я переписываю crypt()
в .NET и извлекаю соль из паролей с паролями.
Безопасно ли использовать соль, используемую для хэширования общедоступного пароля? Или я очень сильно ослабляю безопасность?
Непонятно, что вы подразумеваете под «общественностью» здесь - вам всегда нужно знать соль, чтобы проверить пароль, поскольку вы шифруете введенный пользователем пароль с той же солью и проверяете, что результат такой же, как и исходный результат. –
общественные средства, т.е. отправить соль кому-либо, прося ее. Затем пользователь может воссоздать свой собственный пароль на локальной машине. –