1
pouvez-vous s'il vous plaît dites-moi quelle est la meilleure façon de sel mot de passe. Quelle est la meilleure méthode?Quelle est la meilleure façon de sel mot de passe?
Merci.
A
Répondre
4
Peu importe comment vous le faites. C'est juste un moyen d'obtenir différents hashes pour le même mot de passe.
Si vous pensez avoir besoin de 256 hachages pour chaque mot de passe, utilisez un octet de sel. Si vous voulez des hachages de 4bn pour chaque mot de passe, utilisez 4 octets de sel. Ces types de compromis nécessitent beaucoup plus d'informations sur le domaine de problème que vous nous avez donné. Supposons que le sel soit visible publiquement, vous n'avez donc pas besoin de vous préoccuper de techniques fantaisistes impossibles à deviner pour le prédire - tout PRNG ancien le fera.
1
Un sel applique juste une mutation à votre mot de passe brut avant d'appliquer un hachage (ou un cryptage je suppose) de sorte qu'une attaque de table arc-en-ciel soit plus difficile. Il peut être aussi simple que:
md5("saltstring" + password);
+1
Est-ce que 'PsAaSlStWsOtRrD' est supérieur à' saltstrPASSWORD', ou sont-ils pratiquement les mêmes et ne valent pas la peine d'essayer de mélanger les deux chaînes? –
+0
C'est une bonne question, et je ne suis pas un expert en sécurité. Je pense qu'il y a peu de différence (après tout, ils ressembleront tous les deux à des chaînes aléatoires une fois hachées). Il y a quelques questions à propos de «saler les meilleures pratiques» qu'il vaut probablement mieux revoir. –
Il s'agit peut-être d'un commentaire «stupide», mais: La méthode qui accompagne votre framework. – Tobiasopdenbrouw
@Tobias: Oui, bien sûr - étant donné qu'une telle méthode * vient * avec le framework. Il n'a rien spécifié à propos d'un cadre, donc nous ne pouvons pas supposer qu'il y a même un cadre en premier lieu. –
C'est pourquoi c'est un commentaire "bête", oui. :) – Tobiasopdenbrouw