Usa password_hash () con un sale di sistema e un sale specifico dell'utente

0

Questo è in qualche modo un seguito a " Informazioni su password_hash () in PHP e memorizzazione (parte di) sale su DB ".

C'è un modo o un vantaggio per avere un sale a livello di sistema e un sale specifico per utente rispetto a un sale specifico per utente? Se è così, come posso ottenerlo con quella funzione? C'è un modo per sostituire il suo generatore di sale interno con qualcosa di più sicuro o più sicuro di esso e quindi memorizzare solo la parte utente di sale nella tabella utente?

Se si utilizza il sistema salt, verrà memorizzato in un posto diverso in un server specifico.

    
posta brunoais 12.12.2014 - 19:53
fonte

1 risposta

2

Si chiama "hash con chiave" e la chiave viene talvolta chiamata "pepe".

Sì, c'è un vantaggio di sicurezza. Se la chiave è non memorizzata in un database ma è, forse, una costante in un programma, una perdita di database tramite SQL injection o simile non rivelerà la chiave ei tuoi dati saranno quasi a prova di crack .

Naturalmente, se il sistema operativo viene acquisito, non fa alcuna differenza rispetto a quello che hai fatto. Tuttavia, almeno sembra che molte perdite di password siano dovute a attacchi di SQL injection.

C'è un saggio estremamente utile sull'hashing delle password qui: link Ha una sezione sugli hash keyed. Quel saggio consiglia di non codificare la chiave, ed è giusto se stai per installare un programma in un certo numero di posti. Per un'installazione una tantum, continuo a pensare che sia OK. Assicurati solo che la chiave sia generata utilizzando un generatore di numeri casuali crittografato (CSPRNG) in ogni caso.

    
risposta data 12.12.2014 - 22:39
fonte

Leggi altre domande sui tag