salt- все статьи тега


Рекомендации: солить и перчить пароли?

Я наткнулся на дискуссию, в которой я узнал, что на самом деле я не солю пароли, а перчу их, и с тех пор я начал делать и то и другое с помощью функции, такой как: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Игнорируя выбранный алгоритм хэша (я хочу, чтобы это было обсуждение солей и перцев, а не конкретных алгоритмов, но я использую безопасный), это безопасный вариант или я должен делать что-то другое? Для тех, кто не знаком с терминами: А соль - это слу ...

Где вы храните свои солевые струны?

Я всегда использовал правильную строку соли для каждой записи при хэшировании паролей для хранения базы данных. Для моих нужд хранение соли в БД рядом с хэшированным паролем всегда работало нормально. однако некоторые люди рекомендуют хранить соль отдельно от базы данных. Их аргумент заключается в том, что если база данных скомпрометирована, злоумышленник все равно может построить радужную таблицу с учетом конкретной строки соли, чтобы взломать одну учетную запись за раз. Если это учетная запи ...

Соль поколение и открытого программного обеспечения

насколько я понимаю, наилучшей практикой для генерации солей является использование некоторой загадочной формулы (или даже магической константы), хранящейся в вашем исходном коде. Я работаю над проектом, который мы планируем выпустить как с открытым исходным кодом, но проблема в том, что с исходным кодом приходит секретная формула для генерации солей, и поэтому возможность запускать атаки rainbow table на нашем сайте. Я полагаю, что многие люди рассматривали эту проблему передо мной, и я интер ...

Соль и хэш пароль в python

этот код должен хэшировать пароль с солью. Соль и хэшированный пароль сохраняются в базе данных. Самого пароля нет. Примечание: я использую url-адрес безопасной версии b64encode по привычке. import hashlib import base64 import uuid password = 'test_password' salt = base64.urlsafe_b64encode(uuid.uuid4().bytes) t_sha = hashlib.sha512() t_sha.update(password+salt) hashed_password = base64.urlsafe_b64encode(t_sha.digest()) ...

Является ли время () хорошей солью?

Я смотрю на какой-то код, который я не написал сам. Код пытается хэшировать пароль с помощью SHA512 и использует только time() как соль. Это time() слишком простая соль для этого или этот код безопасен? Спасибо за ответы и комментарии. Я подведу итог здесь для новых читателей: соль должна быть разной для каждого пользователя, поэтому, если 2 пользователя регистрируются одновременно, их соли не будут уникальными. Это проблема, но не большая. но соль не должна быть каким-либо образом связана с ...

Как реализовать соль в моем логине для паролей?

Я хочу реализовать соль в моей системе входа в систему, но я немного запутался в том, как это должно работать. Я не могу понять логику этого. Я понимаю, что md5-это односторонний алгоритм, и все функции, с которыми я столкнулся, похоже, хешируют все вместе. Если это так, то как можно получить пароль обратно для сравнения? Мой самый большой вопрос: Как солить пароль пользователя безопаснее, чем просто хэшировать пароль? Если база данных не будет нарушена, хэш с солью находится в базе данных. Раз ...