Funkcja kryptograficzna, która pobiera losowe bity i ciąg (zazwyczaj hasło) i używa jednokierunkowego skrótu, aby zapewnić nowy ciąg, który może być używany do uwierzytelniania bez udostępniania oryginalnego ciągu. Jeśli funkcja soli używa wystarczającej liczby losowych bitów, wynikowy ciąg jest ogólnie uważany za bezpieczny kryptograficznie.
Zawsze korzystałem z prawidłowego ciągu soli dla każdego wpisu podczas mieszania haseł do przechowywania danych. Na moje potrzeby przechowywanie soli w DB obok zaszyfrowanego hasła zawsze działało dobrze. Jednak niektóre osoby zalecają przechowywanie soli oddzielnie od bazy danych. Ich argumentem...
Mam problem ze zrozumieniem celu hasła do hasła. Rozumiem, że podstawowym zastosowaniem jest powstrzymanie ataku na tęczowy stół. Jednak metody, które widziałem, aby to zaimplementować, nie utrudniają problemu. Widziałem wiele samouczków sugerujących, że sól powinna być używana w następujący...
bCrypt's javadoc ma ten kod do szyfrowania hasła: String pw_hash = BCrypt.hashpw(plain_password, BCrypt.gensalt()); Aby sprawdzić, czy hasło w postaci zwykłego tekstu jest zgodne z hasłem, które zostało wcześniej zaszyfrowane, użyj metody checkpw: if (BCrypt.checkpw(candidate_password,...
Właśnie przeglądałem jeden z artykułów DavidaHaydena na temat Hashing User Passwords . Naprawdę nie mogę dostać tego, co on chce osiągnąć. Oto jego kod: private static string CreateSalt(int size) { //Generate a cryptographic random number. RNGCryptoServiceProvider rng = new...
O ile jest to bezpieczniejsze niż zwykły MD5 ? Właśnie zacząłem zajmować się bezpieczeństwem hasłem. Jestem całkiem nowy w PHP. $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username =
Zawsze byłem ciekawy ... Co jest lepsze, gdy zasolisz hasło do haszowania: prefiks czy postfiks? Czemu? Czy to ma znaczenie, jeśli solisz? Aby wyjaśnić: Wszyscy (miejmy nadzieję) już wiemy, że powinniśmy posolić hasło, zanim zaszyfrujemy je do przechowywania w bazie danych [ Edycja: Więc możesz...
Natknąłem się na dyskusję, w której dowiedziałem się, że to, co robię, nie jest w rzeczywistości soleniem haseł, ale ich pieprzeniem, i od tego czasu zacząłem robić obie funkcje takie jak: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Ignorując wybrany algorytm...
Zamknięte . To pytanie jest oparte na opiniach . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby można było na nie odpowiedzieć, podając fakty i cytaty, edytując ten post . Zamknięte 2 lata temu . Popraw to...
Ostatnio próbowałem zaimplementować własne zabezpieczenia w skrypcie logowania, na który natknąłem się w Internecie. Po trudnościach z nauczeniem się, jak stworzyć własny skrypt, aby wygenerować sól dla każdego użytkownika, natknąłem się na password_hash. Z tego, co rozumiem (na podstawie...
Ten kod ma zhaszować hasło za pomocą soli. Sól i zaszyfrowane hasło są zapisywane w bazie danych. Samo hasło nie jest. Biorąc pod uwagę delikatny charakter operacji, chciałem się upewnić, że wszystko jest koszerne. import hashlib import base64 import uuid password = 'test_password' salt =...
Aktualizacja: Proszę zauważyć, że nie pytam, czym jest sól, czym jest tęczowy stół, czym jest atak słownikowy ani jaki jest cel soli. Pytam: Jeśli znasz sól i hash użytkowników, czy nie jest łatwo obliczyć ich hasło? Rozumiem ten proces i sam go wdrażam w niektórych swoich projektach. s =...