¿Es seguro almacenar el salt junto con la contraseña con hash en la base de datos? [duplicar]

2

Después de leer algunas publicaciones y artículos sobre cómo almacenar las credenciales de los usuarios en una base de datos, en el cual todos dijeron que deberíamos usar un salt diferente para cada usuario y guardar el salt en la base de datos junto con el hashing de password + salt, Todavía tengo una pregunta.

¿Es seguro almacenar el salt junto con la contraseña de hash en la base de datos? Corríjame si me equivoco, pero si obtengo acceso a la base de datos y veo cuál es la sal para esa contraseña, puedo crear una tabla de arco iris con esa sal, ¿no? Estoy tratando de entender qué tan seguro es almacenar la sal, no cómo almacenar la sal.

    
pregunta André Morais 28.11.2016 - 18:14
fuente

2 respuestas

5
  

pero si obtengo acceso a la base de datos y veo qué sal se usó para esa contraseña, puedo crear una tabla de arco iris con esa sal no

Sí, puedes, pero solo funcionaría esa contraseña. El punto central de las tablas de arco iris es que puede calcular una una vez y reutilizarla una y otra vez. La sal por contraseña significa que cada hash de contraseña debe ser atacado individualmente.

Entonces, para responder la pregunta, no, la sal es no un secreto .

    
respondido por el Gareth Charnock 28.11.2016 - 18:23
fuente
1
  

Después de leer algunas publicaciones y artículos sobre cómo almacenar las credenciales de los usuarios en la base de datos, todos dijeron que deberíamos usar un salt diferente para cada usuario y guardar en la base de datos el salt y el hashing de password + salt

Correcto.

La sal es única para cada usuario.

También puede ser útil agregar Pepper, que no es único, pero se almacena fuera de la base de datos, ya sea en el código de la aplicación o en un archivo separado.

  

Me quedo con una pregunta. ¿Es seguro almacenar el salt junto con la contraseña con hash en la base de datos?

Sí.

  

Por favor, corríjame si me equivoco, pero si obtengo acceso a la base de datos y veo qué sal se usó para esa contraseña, puedo crear una tabla de arco iris con esa sal, ¿no?

Sí, pero la sal es única por persona. No es útil crear una tabla de arco iris para una persona.

    
respondido por el George Bailey 28.11.2016 - 18:39
fuente

Lea otras preguntas en las etiquetas