Salt and Hashing, warum nicht den Benutzernamen verwenden?
Muss ich gestehen, weitgehend unwissend über die meisten high-tech-security-relevanten Themen für web-Anwendungen, aber es gibt eine Sache, die ich zumindest dachte, ich könnte Fragen, weil es ist eine direkte Frage mit (hoffentlich) eine konkrete Antwort.
Nehmen Sie diese website: http://www.15seconds.com/issue/000217.htm
Es zeigt ein bisschen auf, dass Sie speichern den salt-Wert in die Tabelle, verstehe ich die Grundsätze und die Mathematik hinter mit ein Salz, aber ich Frage mich, dies:
- Warum haben Sie nicht einfach den username als salt-Wert anstelle von generieren?
InformationsquelleAutor der Frage Lasse Vågsæther Karlsen | 2011-04-06
Du musst angemeldet sein, um einen Kommentar abzugeben.
Da user-Namen, haben eine niedrigere Entropie als eine zufällige Salz, so verbreiten Sie Ihre hashes um weniger als ein richtiges Salz hat.
Nicht, dass das Beispiel auf dieser Seite ist sehr spektakulär. Ich habe immer nur eine GUID generiert und verwenden.
Ich vermute, es ist alles bis in das Rauschen so weit wie real-life-Sicherheit ist ein Anliegen und auch ganz kleine Mengen von pro-Benutzer-Salz macht einen großen Unterschied zu der Sicherheit, mit sehr kleinen Verbesserungen als das Salz wird komplexer.
InformationsquelleAutor der Antwort Will Dean
Dem Punkt, an dem Salz ist, einzigartig zu sein. Das Salz soll verhindern, dass Angriff die Aufteilung der Kosten, d.h. ein Angreifer versucht, anzugreifen zwei Hash-Passwörter für weniger als das doppelte der Kosten, die mit dem Angriff.
Einer Lösung, um die Eindeutigkeit zu generieren, die eine zufällige Salz in eine große genug Raum. Also immer zweimal das gleiche Salz für zwei verschiedene Passwort-Instanzen ist hinreichend unwahrscheinlich, dass es nicht geschehen wird, in der Praxis.
Den Benutzernamen ist nicht angemessen einzigartig:
Salz Entropie ist nicht wirklich wichtig, außer in so weit wie es sorgt für Einzigartigkeit in einem Zufallsmodus einstellen.
InformationsquelleAutor der Antwort Thomas Pornin
Wie etwa:
Würden scheinbar
während immer noch gut die Entropie (hash-based statt Klartext), und
bietet ein Salz, das so lang wie eine kryptographische hash-zB 128-512 bit?
Ein problem wäre, wenn das system erlaubt zwei Benutzer den Benutzernamen und das Passwort (würde nicht passieren, mit E-Mail-Adresse), aber gibt es irgendwelche anderen Probleme mit diesem System?
InformationsquelleAutor der Antwort alienpup