Управление паролями - подход к Hash, Salt & Iteration

Question

Прошли несколько вопросов по этой теме в SO и не смогли найти ответы на этот конкретный запрос. Я видел Salting Your Password: Best Practices? и отличный ответ Non-random salt for password hashes, который имеет очень полезные рекомендации, но не содержит четкого указания по хранению.

Желательно ли иметь хэш, случайную соль и итерацию в одной таблице? Если нет, то какой подход?

Я понимаю, что радужные столы не могут быть легко сделаны со случайными солями на месте, даже если мы их вместе. Вопрос в том, что есть много простых дополнительных сдерживающих факторов, которые могут пройти долгий путь. Например, соль в другой таблице (инъекции обычно выщелачивают таблицу, а не БД) и счетчик итераций в другом уровне (скажем, константа в среднем уровне).

Answer 1

Это нормальный образец для хранения соли и итерации вместе с вычисленным хешем.

Соль не секрет. Соль «работает», будучи различной для каждого вычисленного хэша. Если злоумышленник знает количество соли и итераций, это никоим образом не помогает ему.

Answer 2

Мы ответили на этот вопрос в различных формах на блоке безопасности стека.

• Salting with the first 8 bits of the password - общее согласие, это не очень хорошая идея
• Splitting a password - тоже не выгода

Они похожи на концепции вашего подхода удерживать всю информацию в одной таблице.

@ Комментарий Грега частично прав - определенный злоумышленник сможет получить все данные в конце концов, но ключ здесь - время. Квалифицированный злоумышленник, учитывая достаточное время и ресурсы, сможет получить доступ к вашим системам - ключ к тому, чтобы сделать его сложным или достаточно шумным, чтобы вы его заметили вовремя.

От одного из постов криптограф Томаса Pornin на нашем безопасности Стек Обмена блог:

• Why passwords should be hashed - мы хэширование паролей, чтобы предотвратить злоумышленник доступа только для чтения с эскалации до более высоких уровней мощности. Хеширование паролей не сделает ваш веб-сайт непроницаемым для атак; он все равно будет взломан. Хеширование пароля - это защита от повреждений.

Answer 3

Хранение соли внутри базы данных хорошо для предотвращения радуги таблицы атаки, но за дополнительную сдерживающего:

Убедитесь, что соль верхний, нижний, альфа, числовые и специальные символы и жесткий код его вдоль с солью внутри базы данных:

sha1('a&1S' . $user_pass . $random_salt); // a&1S is the 'hard coded salt' 

Почему жёстко соль?Он делает все и больше, чем случайный соль, который хранится в базе данных.

В большинстве случаев злоумышленник будет первым иметь доступ к базе данных и как с солью и хэш, пароль может быть легко взломан, увидеть в нижней части этого ответа. (Алгоритм также должен быть известен, но если злоумышленник может зарегистрироваться на вашем сайте, он может изменить алгоритм хеширования, используя хэш, соль и пароль для хэша)

Так что если у злоумышленника нет файла доступ, который в большинстве случаев, жестко закодированная соль будет нераскрытой, и единственный способ, которым злоумышленник мог взломать пароль, - это выполнить команду bruteforce (выполнить команду U, L, A, N, S, которая является - почти невозможной, если пароль + соль + жёстко длина соли> = 10 символов)

см http://hashcat.net - рекомендуемый инструмент хакера для хэша крекинга Добавить свой хэш http://waraxe.us, чтобы увидеть, если ваш пароль может быть взломан (: