Se più utenti sullo stesso sito web utilizzano tutti la stessa password, il loro hash della password è lo stesso? [duplicare]

12

Le mie conoscenze di base assumono affermativamente, a meno che i siti Web non includano in qualche modo il nome utente nella funzione di hashing con la password, ma non sono sicuro che questa sia una pratica comune.

    
posta Just 25.02.2016 - 03:58
fonte

2 risposte

25

Dipende se aggiungono o meno i singoli sali o se usano un sale comune (o niente sale).

Se usano i sali individuali, allora saranno diversi; altrimenti, [probabilmente] saranno uguali.

    
risposta data 25.02.2016 - 04:11
fonte
12

Come sempre, una buona lettura è risposta canonica di Thomas Pornin a Come fare in modo sicuro le password di hash , che offre sia consigli e spiegazioni su sali crittografici casuali per utente unici, con PBKDF2, BCrypt e SCrypt che sono algoritmi di scelta e detti sali sono obbligatori.

Per la tua domanda specifica, leggi semplicemente le domande security.stackexchange.com e stackoverflow.com con il tag "password" e troverai rapidamente che NON esiste un modo standard per fare nulla con le password.

SCrypt è quasi sconosciuto.

BCrypt è principalmente riservato per PHP 5.5 e versioni successive (e 5.3.7 con password_compat; c'è un buon numero di persone PHP che lo usano e un buon numero di persone PHP che usano qualcos'altro.

PBKDF2 è la scelta giusta per quasi tutti gli altri.

E ANCORA hai una combinazione di altri metodi hash iterati (spesso con errori di salatura), singole iterazioni di un hash (di solito con errori di salatura), hash non salati e fuori e fuori Non essere un Dave domande, ancora e ancora e ancora e ancora e ancora.

Quindi no; quando si tratta effettivamente di gestire le password, si deve presumere che Dave stia codificando il proprio sito Web.

    
risposta data 25.02.2016 - 05:07
fonte

Leggi altre domande sui tag