Sto memorizzando nel mio database l'hash della password utente e salt.
Mi piacerebbe sapere se mettere insieme hash e sale nello stesso campo sta aggiungendo complessità a un potenziale hacker che ha avuto accesso al database?
In questo modo:
h:hash and S:salt
hhhhhhhhhhhhhhhhSSSS
E anche così:
hhShhhhhSShhhhShhShhhh
Le posizioni degli ottetti salati saranno scelte arbitrariamente e l'hash e il sale saranno ricostruiti in fase di runtime.
È utile? O completamente inutile?
Avere il sale e la password insieme è piuttosto comune, bcrypt usa qualcosa di simile. L'hash restituito da bcrypt ha il seguente formato
$prefix$cost$salt+hash
Riguardo allo scrambling, mentre potrebbe darti una sorta di protezione contro la maggior parte degli attaccanti, è solo aggiungere sicurezza attraverso l'oscurità. Per quanto l'attaccante non sappia come stai rimescolando il risultato ti darà una certa protezione, ma una volta che l'attaccante sa che non darà alcuna protezione
In generale, la sicurezza attraverso l'oscurità non è raccomandata come unico livello di sicurezza, ma in questo caso è un'ulteriore prassi di hashing delle password (suppongo che tu usi bcrypt o un algoritmo di hashing della password equivalente sicuro). Ma IMO, è possibile ottenere un miglioramento della sicurezza migliore aumentando il costo / iterazioni della funzione di hashing utilizzata
Direi che questo è un buon hardening, ma non è qualcosa su cui fare affidamento.
Le pratiche corrette come l'uso di un algoritmo di hash lento (bcrypt) e la protezione del server sono molto più importanti.
Se qualcuno ha accesso al tuo server, è probabile che riesca a capire come l'hash e il sale sono disposti all'interno della stringa.
Se venissero trapelate solo le stringhe, sarebbe molto più difficile applicare la forza bruta in quanto non sarebbero hash validi.
Idea creativa, mi piace.