Da quando realizzo siti che richiedono a un utente di accedere con un nome utente e una password, ho sempre protetto le password memorizzandole nel mio hash del database con una frase salt. Bene, recentemente ho letto che è una cattiva pratica usare una singola parola di sale statica. Invece dovresti usare un salt casuale per ogni utente.
Sono in grado di generare una parola salata casuale per ciascun utente. Ma la mia domanda è, se devi memorizzare il sale casuale anche nel tuo database in modo da poterlo usare per incrociarlo in seguito per controllare la password immessa dagli utenti quando accedono. Non lo rende altrettanto facile se i nomi utente e le password vengono rubate dal tuo database quindi non avrebbero altrettanto accesso ai valori salt random? Sembra che quell'ulteriore livello di sicurezza non aggiunga molto all'equazione.
O mi sto sbagliando tutto questo?