Не могли бы вы рассказать мне, что является лучшим способом слить пароль. Какой метод лучше всего?Что такое лучший способ солить пароль?
спасибо.
Не могли бы вы рассказать мне, что является лучшим способом слить пароль. Какой метод лучше всего?Что такое лучший способ солить пароль?
спасибо.
Не имеет значения, как вы это делаете. Это единственный способ получить разные хэши для одного и того же пароля.
Если вы считаете, что для каждого пароля требуется 256 хэшей, используйте один байт соли. Если вы хотите хеши 4bn для каждого пароля, используйте 4 байта соли.
Этим компромиссам требуется гораздо больше информации о проблемной области, чем вы нам дали.
Предположим, что соль является общедоступной, поэтому вам не нужно беспокоиться о фантастических неопровержимых методах ее предсказания - любой старый PRNG будет делать.
Соль просто применяет некоторые мутации к сырому паролю, прежде чем применять хеш (или шифрование, я думаю), так что атака радужного стола сложнее. Это может быть так же просто:
md5("saltstring" + password);
Является ли 'PsAaSlStWsOtRrD' превосходящим' saltstrPASSWORD', или они практически одинаковы и не стоит пытаться перетасовать две строки? –
Это хороший вопрос, и я не эксперт по безопасности. Я думаю, что это немного отличается (в конце концов они оба будут выглядеть как случайные строки, однажды хэшированные). Есть несколько вопросов о «совете лучших методов», которые, вероятно, лучше рассмотреть. –
Это может быть немного «немой» комментарий, но: метод, который поставляется с вашим фреймворком. – Tobiasopdenbrouw
@Tobias: Да, конечно, учитывая, что такой метод * * поставляется с каркасом. Он ничего не указал о структуре, поэтому мы не можем предположить, что в первую очередь есть структура. –
Вот почему это «немой» комментарий, да. :) – Tobiasopdenbrouw