L'hashing con sale è un approccio migliore per la sicurezza. Voglio sapere che tipo di attacco salina protegge contro, ad es. intercettazioni.
Successivamente, voglio sapere se il valore di sale è lo stesso per la stessa password. Supponiamo che il server mantenga la password e un ramdom salt. Quando l'utente vuole accedere, produce un ramdom salt e invia l'hash. In questo modo, l'hash dal server e l'utente non hanno modo di eguagliare. La mia opinione è giusta?
I want to know what kind of attack salting protects against, eg. eavesdropping.
Protegge dagli attacchi bruteforcing. Vedi questo . Nota che l'intercettazione è qualcosa di cui ti preoccupi per i dati in transito - quando vengono inviati tra client e server. Hai hash password per proteggere i dati a riposo - quando sono memorizzati sul server. (Per proteggere le password in transito, durante il loro viaggio sulla rete da un client all'altro, utilizzi HTTPS. Scommetti che è un'altra questione.)
Suppose that the server keeps the password and a ramdom salt. When the user want to login, it produce a ramdom salt and send the hash. In this manner, the hash from the server and the user have no way to match. Is my opinion right?
No, stai fraintendendo il modo in cui l'hashing della password è stato eseguito. Il client non ha hash la password, quindi l'utente non ha sale. Quindi il problema dei sali che non corrispondono non si pone mai.
Invece il client invia passwod unhashed al server. Il server ha un unico sale per password. Lo stesso sale viene usato sia quando si esegue l'hashing di una nuova password per l'archiviazione, sia quando si controllano le password all'accesso. In questo modo, gli hash possono essere confrontati perché il server ha usato lo stesso sale entrambe le volte.
Leggi altre domande sui tag hash