aggiunta di sale nell'hashing? [duplicare]

Naviga le tue risposte
1

Potrei sbagliarmi qui, ma leggendo di sale mi chiedevo se usando la stessa quantità di sale per ogni password salvata nel nostro database non gli utenti che hanno la stessa password porterebbero allo stesso hash anche dopo aver aggiunto sale, diminuendo la suola scopo di aggiungere sale.

Se è vero dovremmo usare solo salt random nei database?

E quale dovrebbe essere una lunghezza di sale ottimale?

Qualcuno potrebbe anche spiegare come viene deciso il sale, se si tratta di dati pre-concordati che vengono aggiunti solo tramite il codice o che vengono salvati da qualche parte da cui viene effettuato l'accesso più e più volte per ogni singola password.

    
posta Harshit Bhatt 15.04.2015 - 02:53
fonte

2 risposte

1

Sì, se usi lo stesso salt, la stessa password risulterà nello stesso hash.

L'idea generale alla base dell'archiviazione sicura delle password sta nel massimizzare la quantità di lavoro computazionale che un avversario dovrà eseguire se avrà accesso alle credenziali archiviate.

Lo scopo di un sale è di attenuare il valore degli hash precalcolati (cioè senza lavoro aggiuntivo come già esistono). In caso di stoccaggio senza sale, un avversario può semplicemente confrontare la propria lista con le password memorizzate. Se dovessi usare lo stesso sale, anche se dovrebbe essere prodotto un nuovo elenco di hash, dovrebbe essere fatto solo una volta. I sali per password richiedono un nuovo attacco a forza bruta per ciascuna password.

Puoi conservare il sale con l'hash dato che il suo contributo predominante per la sicurezza risiede nella sua unicità (e dimensioni) piuttosto che nella sua segretezza.

Ecco una buona risorsa e suggerirei di prestare attenzione alle funzioni adattive unidirezionali che consentono uno stretching chiave:

link

    
risposta data 15.04.2015 - 06:38
fonte
0

SALE che non dovrebbe essere segreto = > uguale per tutti gli utenti < = > nessun SALE.

Puoi vedere una buona spiegazione qui: Sicurezza di hashing

    
risposta data 15.04.2015 - 08:45
fonte

Leggi altre domande sui tag

L'invio di file di immagini in http in un'applicazione sicura comporta rischi? [duplicare] Gli attacchi drive-by Skype sono teoricamente possibili?