He visto varios métodos sobre cómo saltear una contraseña correctamente. La premisa básica es que adjunte una cadena aleatoria a cada contraseña antes de que se clasifique y almacene. ¿Puedo guardar la sal en la misma tabla que la contraseña? Además, ¿Importa si la sal se almacena como texto sin formato, siempre y cuando cada entrada tenga una sal diferente?cómo almacenar la contraseña sal
Sí. La idea detrás de una sal no es que la sal sea secreta, sino que hace que la misma contraseña para diferentes usuarios se codifique de forma diferente. Esto aumenta el tamaño de las tablas rainbow necesarias para el cracking, o fuerza a un diccionario (u otro) ataque para ejecutar contra cada contraseña por separado.
El punto de la salazón es que nadie tiene el mismo hash ya que los usuarios tienen la misma contraseña, simplemente poniendo su nombre de usuario en frente de la contraseña y luego hashing sería suficiente.
Esto puede ser una mala o buena idea. Si tiene muchos nombres de usuario cortos, las sales son demasiado pequeñas para ser útiles para esos usuarios particulares. – Donnie
Posiblemente podría duplicar su nombre de usuario en tamaño, cualquier cosa específica para el usuario. –
Nada es siempre "suficiente". –
http://stackoverflow.com/questions/1753028/what-is-best-possible-way-of-salting-and-storing-salt –
Gracias por la referencia –