Non capisco come usare un salt casuale per le password di hashing possa funzionare. Forse il sale casuale si riferisce a qualcosa di diverso dalle password di hashing? Ecco il mio processo di pensiero:
-
Il sale è usato per aggiungere spazzatura extra alla fine di una password prima di eseguirne l'hashing, per combattere contro la probabilità di essere incrinato da una tabella arcobaleno
-
Tuttavia, per assicurarti di poter verificare che una password sia corretta, devi prima usare lo stesso salt per ogni password prima di crittografarla per vedere se corrisponde all'hash salvata per un determinato utente
-
Se viene utilizzato un sale casuale, in che modo la password può essere verificata di nuovo? Il sale casuale salvato da qualche parte per essere utilizzato per ogni crittografia? Sembra meno sicuro per me se il sale viene salvato proprio accanto alla password con hash, piuttosto che usare un qualche tipo di sale calcolato che un utente malintenzionato non sarebbe in grado di sapere se ha preso i dati.
Non sono sicuro se mi manca qualcosa qui, o se la salatura casuale ha a che fare con uno scenario diverso nella crittografia, e non ha senso in questo caso particolare. Come può un sale casuale funzionare nel precedente caso di password di hashing prima della crittografia?