Crittografa la password con sale

Il processo di giudicare la sicurezza delle informazioni memorizzate in un database di password viene fatto con l'assunto che un avversario (hacker) non solo sa quale metodo di crittografia / crittografia stai usando, ma anche che ha rubato una copia della tua password Banca dati. Conoscendo queste cose, l'hacker desidera scoprire la password in modo che possa fingere di essere un utente valido.

Nel problema descritto, assumiamo che l'hacker abbia rubato il database e possa vedere i valori di S e Y per ogni utente contenuto nel database. La differenza tra i due metodi è in che cosa consiste il valore di Y.

Nel metodo 1, [password] è combinato con [salt] e quindi quel valore è crittografato a blocchi con chiave [password].

Nel metodo 2, [sale] è combinato con [password] e quindi quel valore è crittografato a blocchi con chiave [salt].

Il fatto che la password e il sale siano mescolati in modi diversi nei due esempi è irrilevante; il fatto critico che dovresti notare è quale chiave è stata usata per creare Y.

Nel metodo 1 la chiave utilizzata per la crittografia è la password. L'hacker non sa quale sia la password, poiché è stata crittografata prima di memorizzarla all'interno di Y nel database. Nel metodo 2 la chiave utilizzata per la crittografia è S. L'hacker sa che cosa è S, poiché è proprio lì nel database.

Se viene utilizzato il metodo 2, l'hacker può decrittografare immediatamente Y per scoprire la password utilizzando la parola chiave S. Se viene utilizzato il metodo 1, dovrà interrompere la crittografia di Y senza conoscere la chiave di crittografia [password]. Quindi il metodo 1 è un modo più sicuro per creare un database di password.