| Autor | Zpráva | ||
|---|---|---|---|
| Slash Profil * |
#1 · Zasláno: 11. 2. 2012, 13:29:49
Chcem sa spýtať na váš názor.
Do db ukladám užívateľa s heslom, salt môžem pridávať "statický" ktorý budem mať natvrdo napísaný v kóde alebo si vždy pri vytváraní usera vygenerujem nový salt a ten spolu s heslom a username uložím do db. Takže každý user má vlastný salt. Zvýši to bezpečnosť aplikácie alebo je to zbytočné. Najlepšie ak by ste svoje názory aj nejako podložili. |
||
|
Časová prodleva: 5 dní
|
|||
| Jan Tvrdík Profil |
#2 · Zasláno: 16. 2. 2012, 02:40:22
Lepší je mít pro každý záznam vlastní salt, protože pokud bude salt statický a útočník ho zjistí, může si vygenerovat rainbow tabulky pro tento daný salt. Pokud bude mít každý uživatel vlastní salt, tak by útočník musel vygenerovat rainbow tabulky pro každého uživatele zvlášť.
|
||
| Joker Profil |
#3 · Zasláno: 16. 2. 2012, 09:35:55
Další výhoda dynamické soli je, že není poznat, kteří uživatelé mají stejné heslo. U statické soli když budou mít stejné heslo, budou mít i stejný hash, u dynamické soli to tak není.
Pro zvědavého admina je nevýhoda, že to nemůže dělat ani on :-) Kdysi jsem dělal takový pokus v databázi, která měla jen prostý hash bez soli: SELECT hash, COUNT(*) AS pocet FROM uzivatele GROUP BY hash = „žebříček popularity“ jednotlivých hesel. Tuším, že zhruba prvních 5 šlo snadno uhodnout a pokrývalo to asi tak 10% uživatelů.
Z toho je i vidět, proč je statický hash méně bezpečný než dynamický. |
||
|
Časová prodleva: 11 let
|
|||
0