La combinazione di hash e sale password nello stesso campo di database è più sicura?

2

Sto memorizzando nel mio database l'hash della password utente e salt.

Mi piacerebbe sapere se mettere insieme hash e sale nello stesso campo sta aggiungendo complessità a un potenziale hacker che ha avuto accesso al database?

In questo modo:

h:hash and S:salt
hhhhhhhhhhhhhhhhSSSS

E anche così:

hhShhhhhSShhhhShhShhhh

Le posizioni degli ottetti salati saranno scelte arbitrariamente e l'hash e il sale saranno ricostruiti in fase di runtime.

È utile? O completamente inutile?

    
posta Carl Sagan 03.08.2017 - 19:45
fonte

2 risposte

4

Avere il sale e la password insieme è piuttosto comune, bcrypt usa qualcosa di simile. L'hash restituito da bcrypt ha il seguente formato

$prefix$cost$salt+hash

Riguardo allo scrambling, mentre potrebbe darti una sorta di protezione contro la maggior parte degli attaccanti, è solo aggiungere sicurezza attraverso l'oscurità. Per quanto l'attaccante non sappia come stai rimescolando il risultato ti darà una certa protezione, ma una volta che l'attaccante sa che non darà alcuna protezione

In generale, la sicurezza attraverso l'oscurità non è raccomandata come unico livello di sicurezza, ma in questo caso è un'ulteriore prassi di hashing delle password (suppongo che tu usi bcrypt o un algoritmo di hashing della password equivalente sicuro). Ma IMO, è possibile ottenere un miglioramento della sicurezza migliore aumentando il costo / iterazioni della funzione di hashing utilizzata

    
risposta data 03.08.2017 - 20:23
fonte
0

Direi che questo è un buon hardening, ma non è qualcosa su cui fare affidamento.

Le pratiche corrette come l'uso di un algoritmo di hash lento (bcrypt) e la protezione del server sono molto più importanti.

Se qualcuno ha accesso al tuo server, è probabile che riesca a capire come l'hash e il sale sono disposti all'interno della stringa.

Se venissero trapelate solo le stringhe, sarebbe molto più difficile applicare la forza bruta in quanto non sarebbero hash validi.

Idea creativa, mi piace.

    
risposta data 03.08.2017 - 20:17
fonte

Leggi altre domande sui tag