Was ist "salt", wenn in Bezug auf MYSQL sha1?

Was ist "salt", wenn in Bezug auf MYSQL sha1? Ich habe keine Ahnung, was Salz ist, wenn in Bezug auf die sha1-Passwort-Verschlüsselung? Kann mir bitte jemand erklären, was es ist?

InformationsquelleAutor Noah R | 2010-12-04
  1. 14

    Salz ist ein Wert, der Hinzugefügt wird, um ein Kennwort (oder andere Geheimnis), die Sie wollen, hash eine Möglichkeit. Das bedeutet, dass es sein könnte, vor, nach, oder irgendwo innen das Kennwort, solange seine position und Wert ist konsistent für eine gegebene Passwort.

    Was dieser tut, ist es mildert Wörterbuch-Attacken - im Grunde Wörterbücher für gemeinsame Passwörter pre-Hash ohne salt - verwendet wird, zu "erraten" one-way-Passwort, so lange, wie der Angreifer kennt das nicht-hash. Wenn jeder das Passwort hat eine andere hash-dann macht es sehr schwierig für einen Angreifer das erstellen eines dictionary-optimiert für das knacken deine Passwörter (Sie benötigen ein Wörterbuch für jedes einzelne Salz-und Sie müssten auch wissen, wo das Salz wurde in jedes Passwort).

    Natürlich auch für diese anwendbar zu sein muss ein Angreifer über die Hashwerte der Passwörter in den ersten Platz. Das hat nichts zu tun mit dem Angriff auf Passwörter durch erraten Sie durch einige Eingabe-prompt.

    Bezüglich MySQL speziell wenn man ein Salz, wenn das hashing eines Passworts, stellen Sie sicher, dass Sie erfassen, was das Salz war irgendwo. Dann, wenn ein Benutzer versucht, die Authentifizierung, die Sie kombinieren, dass die aufgenommenen salt-Wert mit dem Passwort (während der Aufruf crypt zum Beispiel) und, wenn der resultierende hash übereinstimmt, dann haben Sie das korrekte Passwort eingegeben haben. (Beachten Sie, dass zu keiner Zeit ist der Hash eines Passwortes wieder rückgängig gemacht, so ein Weg ist.)

    InformationsquelleAutor cfeduke
  2. 9

    Salz ist nichts anderes als eine Zeichenfolge, die Sie Heften sich an das Passwort, entweder als eine Konstante oder durch einen Algorithmus

    das macht es schwieriger für jedermann, der verletzt Ihre Sicherheit und erhalten Sie Zugriff auf Ihre gespeicherten Passwort, die im Gegenzug macht es nahezu unmöglich für ihn zu verwenden, rainbow Wörterbücher zu entsperren, was das echte Passwort ist, die in einer hacker-Sicht kann nützlich sein, da eine Menge Leute benutzen das gleiche Passwort in eine Menge von verschiedenen Websites

    $salt = "this is a salt";
$password = 'this is an password';
$hash = sha1($salt.$password);

    Das ist, wie Sie im Grunde könnte Salz ein Passwort

    • Welche Art von Zeichenfolge?
    • Was wäre also das Salz für:sha1$0e7eb$f2353e34dd1811c3ce4af5c2b0f5cb43a04a16ce
    • @Noah: "0e7eb"
    • Sie nicht sagen, es ist ein Teil des Kennworts
    • Falsch; man kann nicht entpacken Sie es aus dem hash. Es wird gespeichert, allerdings separat, zusammen mit den verwendeten Algorithmus und den daraus resultierenden Hashwert.
    • ist nicht das, was er schrieb einen hash?
    • Okay, gut... ich versuche zu hacken meine eigene Datenbank für mein Passwort vergessen... ich bin mit Kain und Abel für diese... und es fragt nach dem "Salz" zu Hashen. Nun... wenn Sie brauchen, um zu entschlüsseln, zu finden, die Salz -, warum dann würde Kain und Abel Fragen für das Salz?
    • jetzt, wenn ich daran denke sha erzeugt einen 40 char hash, so dass diese könnte es $0e7eb$
    • Es sagt ungültige Salz-Länge, wenn ich versuche "$0E7EB$" und dann den rest des hash "f2353e34dd1811c3ce4af5c2b0f5cb43a04a16ce" in Kain und Abel. Irgendwelche Ideen, warum?
    • Das format für authdb Passwort-Einträge allgemein "<Algorithmus> $ <Salz> $ <hash>". Die $s sind nur Trennzeichen.
    • Also werde ich nicht in der Lage, das abrufen der Passwort?
    • was er sagt, wenn ich das richtig verstanden habe, ist, dass 0e7eb ist das Salz
    • ein Salz muss immer zufällig sein. wenn Sie eine Konstante verwenden, ist es eine Taste anstelle von Salz.
    • Nicht unbedingt zufällig, nur nicht konstant. 🙂
    • es müssen genügend Entropie, nicht vorhersehbare und deutlich für jeden Hash-Passwort auf allen Systemen und für jede Instanz. Die einfachste (einzige?) Weg dies zu erreichen ist, indem Sie einen zufälligen salt. Lesen Sie auch: stackoverflow.com/questions/1645161/...
    • Recht, aber konnte Sie nicht verwenden, zum Beispiel, wird der Zeitstempel der Zeitpunkt, zu dem der Benutzer registriert ist (oder sein Passwort geändert)? Das ist nicht zufällig generiert, aber immer noch nützlich.
    • ein timestamp hat nur eine begrenzte Reichweite, und daher vorhersehbar ist. Wenn ich wusste, dass eine website-Betriebssystem war für 1 Jahr, als wäre 31,556,926 Sekunden (aber diese sind nicht gleichmäßig verteilt-Werte). Vorausgesetzt, das system hat kein Leck Informationen, wie zum Beispiel 'Mitglied seit', das wäre besser als nichts, aber weit weniger Entropie als eine zufällige 32-bit-Salz (=4,294,967,296 Optionen). Das problem ist jedoch, dass in dieser gleichen Sekunde, mehrere Benutzer könnte sich angemeldet haben, dies ist umso wahrscheinlicher, wenn Ihre software auf mehr als einem Rechner. Ich würde sagen, warum das Risiko eingehen?
    • Hmm, interessant, danke für den Einblick! Ich selbst benutzte eine zufällige Salz auf der letzten web-app, mit der ich gearbeitet habe, aber ich dachte immer, ein timestamp, war ziemlich sicher.

    InformationsquelleAutor Breezer
  3. 5

    Salz wird an den Klartext (oder Umgekehrt), bevor hashing um Wörterbucheinträge teurer.

    • Könnten Sie mir ein Beispiel nennen?
    • +1 - Recht. Zum Beispiel, es bedeutet, dass ein Angreifer, der Zugriff auf eine Reihe von Hash-Passwörter können nicht einfach SHA1-hash ein Wörterbuch einmal und vergleichen Sie es gegen alle Passwörter in der Masse, weil das Salz, den Hash wieder neu gemacht (mit der richtigen Salz) für jedes Passwort.
    InformationsquelleAutor Ignacio Vazquez-Abrams
Schreibe einen Kommentar