多部分密码盐 - 常见做法
Multi part password salt - Common practice
存储散列密码时,通常会保留盐分。这通常不是安全问题,因为据我所知,盐只是为了防止彩虹查找表而设计的,并且每个密码都有一个唯一的盐,每个密码都需要通过蛮力单独破解。
为什么在 'salt' 中设置第二个静态部分是不常见的做法,它在所有密码之间共享,而这些密码永远不会保存到数据库中。这将确保仅破坏数据库不足以通过暴力破解密码,因为黑客还需要了解密码盐的次要静态部分?
a salt is merely designed .. individually via brute force.
Why is it not common practice to have a second static part to the 'salt' that shared across all
我会说 - 因为 'simple' 盐达到了它的目的。一个简单的盐就足以迫使对手分别破解每个密码。
理论上 - 使用任何身份验证框架都不会阻止您添加另一个 salt 参数(我看到它被使用了,尽管不是很频繁)。所以你确实可以这样做,但是另一个 "system" 盐会有另一个目的。
在我看来 - 添加另一个 "system" salt 会有所帮助,以防只有数据库被破坏(例如备份被泄露,..)。通常破坏数据库会破坏整个系统,包括机密或额外配置
存储散列密码时,通常会保留盐分。这通常不是安全问题,因为据我所知,盐只是为了防止彩虹查找表而设计的,并且每个密码都有一个唯一的盐,每个密码都需要通过蛮力单独破解。
为什么在 'salt' 中设置第二个静态部分是不常见的做法,它在所有密码之间共享,而这些密码永远不会保存到数据库中。这将确保仅破坏数据库不足以通过暴力破解密码,因为黑客还需要了解密码盐的次要静态部分?
a salt is merely designed .. individually via brute force.
Why is it not common practice to have a second static part to the 'salt' that shared across all
我会说 - 因为 'simple' 盐达到了它的目的。一个简单的盐就足以迫使对手分别破解每个密码。
理论上 - 使用任何身份验证框架都不会阻止您添加另一个 salt 参数(我看到它被使用了,尽管不是很频繁)。所以你确实可以这样做,但是另一个 "system" 盐会有另一个目的。
在我看来 - 添加另一个 "system" salt 会有所帮助,以防只有数据库被破坏(例如备份被泄露,..)。通常破坏数据库会破坏整个系统,包括机密或额外配置