Sale globale vs sale-per-password [duplicato]

1

È noto che tutti gli hash delle password devono essere salati, ma spesso emerge una discussione su quale strategia di salatura utilizzare:

  • Un sale comune, hardcoded nell'applicazione, lontano dai dati
  • Un hash saltato per uno, archiviato nel database accanto all'hash, mai riutilizzato

In che modo questi due approcci si confrontano con diversi attacchi o perdite? È uno più sicuro dell'altro?

    
posta Kos 08.08.2012 - 09:23
fonte

1 risposta

5

Sul sito sono già scritte tonnellate di salatura. Per favore, leggi questo e poi torna se hai altre domande. Non perdere Password Hash aggiungendo sale + pepe o sale abbastanza? .

TL; DR: ogni utente dovrebbe ricevere il proprio salt random individuale, memorizzato nel database, accanto all'hash. Opzionalmente potresti anche includere un secondo sale ("pepe") applicato in altre applicazioni, ma non è fondamentale.

    
risposta data 08.08.2012 - 09:36
fonte

Leggi altre domande sui tag