Voglio dire, ad esempio, usi salting per proteggere la tua password da un attacco di dizionario. Ma quando so che il sale di User X è jd38d83h8fh08h (perché è salvato come testo normale insieme alla password), potrei usare questo salt con ogni parola nel mio dizionario. Perché è sicuro salvare un sale come testo normale?
I sali non sono progettati per proteggere dagli attacchi del dizionario. Il sale è usato per prevenire una pre-immagine o un attacco arcobaleno in cui una grande quantità di password è pre-calcolata, e può essere consultato quasi immediatamente piuttosto che settimane o mesi dopo.
Mettere una grande quantità di dati casuali prima che la password lo renda impossibile.
Inoltre, il sale protegge dalla stessa password con lo stesso valore di hash e costringe l'utente malintenzionato a calcolare un nuovo hash per tutte le password piuttosto che utilizzare lo stesso hash per tutte le password.
Se ho visto un non di sale memorizzato come testo in chiaro, diminuirebbe la mia sicurezza nella sicurezza nel resto dell'applicazione. Perché questo è, è perché mi significherebbe che lo sviluppatore responsabile non conosce lo scopo e potenzialmente l'uso corretto di un sale.
La crittografia di un sale non danneggerebbe la sicurezza, ma tieni presente che i colleghi consapevoli diventerebbero sospetti della tua comprensione.