He visto varios métodos sobre cómo saltear una contraseña correctamente. La premisa básica es que adjunte una cadena aleatoria a cada contraseña antes de que se clasifique y almacene. ¿Puedo guardar la sal en la misma tabla que la contraseña? Además, ¿Importa si la sal se almacena como texto sin formato, siempre y cuando cada entrada tenga una sal diferente?cómo almacenar la contraseña sal
Respuesta
Sí. La idea detrás de una sal no es que la sal sea secreta, sino que hace que la misma contraseña para diferentes usuarios se codifique de forma diferente. Esto aumenta el tamaño de las tablas rainbow necesarias para el cracking, o fuerza a un diccionario (u otro) ataque para ejecutar contra cada contraseña por separado.
El punto de la salazón es que nadie tiene el mismo hash ya que los usuarios tienen la misma contraseña, simplemente poniendo su nombre de usuario en frente de la contraseña y luego hashing sería suficiente.
Esto puede ser una mala o buena idea. Si tiene muchos nombres de usuario cortos, las sales son demasiado pequeñas para ser útiles para esos usuarios particulares. – Donnie
Posiblemente podría duplicar su nombre de usuario en tamaño, cualquier cosa específica para el usuario. –
Nada es siempre "suficiente". –
- 1. salazón de sal MD5 - dónde almacenar sal
- 2. sal contraseña óptima longitud
- 3. ¿Cómo agregar sal en la contraseña del usuario?
- 4. Aplicación web - Almacenar una contraseña
- 5. Parece una sal fuerte para una contraseña
- 6. Cómo sal y hash un valor de contraseña usando C#?
- 7. ¿Debe la sal para una contraseña Hash ser "hash" también?
- 8. Almacenar una contraseña
- 9. La mejor manera de almacenar la contraseña en sql
- 10. ¿Cómo agregarías sal a tus hashes de contraseña existentes?
- 11. ¿Cómo funciona la sal en Rails 'has_secure_password
- 12. Sal, contraseñas y seguridad
- 13. Java - ¿Cómo almacenar la contraseña utilizada en la aplicación?
- 14. ¿cuál es la mejor manera posible de salar y almacenar sal?
- 15. Max longitud de base64 sal/contraseña para este algoritmo
- 16. ¿Por qué una contraseña se conoce como "sal"?
- 17. Cómo almacenar y usar una sal de shiro desde la base de datos
- 18. ¿Funciona IV como sal?
- 19. Almacenar una contraseña de forma segura
- 20. ¿Está bien guardar la sal del usuario en la misma tabla que el hash de contraseña?
- 21. usar la sal cuando se usa SimpleMembershipProvider
- 22. Almacenar la contraseña por separado desde el nombre de usuario
- 23. SampleSyncAdapter almacenar contraseña texto sin formato?
- 24. hash MD5 con sal para mantener la contraseña en DB en C#
- 25. Estrategias de seguridad para almacenar la contraseña en el disco
- 26. ¿se mejoró bcrypt con la frase de contraseña hmac'd?
- 27. Doble sal para contraseñas hash?
- 28. ¿Cómo almacenar contraseñas * correctamente *?
- 29. ¿Sal de miembro de ASP.NET?
- 30. [Servidor Sql] ¿qué tipo de datos usar para los valores de sal y hash de la contraseña y qué longitud?
http://stackoverflow.com/questions/1753028/what-is-best-possible-way-of-salting-and-storing-salt –
Gracias por la referencia –