Sta generando un salt casuale per ogni hash delle password ma non salvando il sale buono / cattivo? [duplicare]

1

Ho letto questo articolo correlato: spazio di archiviazione pw con sale casuale che è un po 'correlato alla mia domanda, ma nella domanda e nelle risposte menzionano anche per memorizzare il sale casuale usato per cancellare la password nel database.

Ora sto usando le password di bcrypt to hash e, dopo aver cancellato la password, ho generato un salt salt e hash casuali con questo, ma non lo memorizzo in seguito perché bcrypt può verificare senza di esso. È una buona / cattiva pratica? Se sì, perché?

    
posta Jim-Y 25.05.2018 - 13:06
fonte

1 risposta

3

Non posso commentare, quindi risponderò. Bcrypt aggiunge già un sale. C'è un motivo per cui vuoi salare la password due volte?

Come ha sottolineato Steffen Ullrich nella possibile domanda duplicata ( link ):

From a description of bcrypt at Wikipedia: ... The rest of the hash string includes the cost parameter, a 128-bit salt (Radix-64 encoded as 22 characters), and 184 bits of the resulting hash value (Radix-64 encoded as 31 characters) Thus, the salt is automatically included in the output string which means there is no need to add it by yourself.

L'hash prodotto dalla funzione bcrypt contiene sale casuale. In questo modo il sale non ha bisogno di essere immagazzinato da nessun'altra parte. Wikipedia ha un buon articolo su bcrypt: link

    
risposta data 25.05.2018 - 13:24
fonte

Leggi altre domande sui tag