Stavo cercando di capire le migliori pratiche per l'archiviazione delle password degli amministratori e ho trovato un suggerimento di overflow dello stack per . Fino a quel momento stavo pianificando di utilizzare 2 tabelle separate (AdminUser / User) nel mio database delle password (con voci salt / hash) che vengono autenticate su diversi sottodomini. C'è una ragione per cui userei lo stesso tavolo per entrambi gli insiemi di hash?
Is there a reason why I would use the same table for both set's of hashes?
Non proprio. Puoi usare una tabella separata se vuoi. Dal punto di vista dello sviluppo, potrebbe essere leggermente più semplice utilizzare una singola tabella (poiché è possibile riutilizzare qualsiasi stored procedure) ma dal punto di vista della sicurezza non aumenta o diminuisce la superficie di attacco in alcun modo significativo. Non c'è nulla di male con entrambe le decisioni.
Assicurati solo di memorizzare l'hash della password e il sale, e di generare ogni volta un nuovo salt.
Leggi altre domande sui tag authentication password-management databases