Global salt vs salt-per-password [duplicado]

Navega tus respuestas
1

Se sabe que todos los hashes de contraseñas deben incluirse en salazón, pero a menudo surge un debate sobre cuál es la estrategia de utilización con sal:

  • Una sal común, codificada en la aplicación, alejada de los datos
  • Una sal por un hash, almacenada en la base de datos junto al hash, nunca reutilizada

¿Cómo se comparan estos dos enfoques con diferentes ataques o fugas? ¿Es uno más seguro que el otro?

    
pregunta Kos 08.08.2012 - 09:23
fuente

1 respuesta

5

Hay toneladas ya escritas en este sitio sobre la salazón. Por favor, lea eso y luego regrese si tiene más preguntas. No te pierdas Hash de contraseña ¿agregar sal + pimienta o es suficiente sal? .

TL; DR: cada usuario debe recibir su propio sal aleatorio individual, almacenado en la base de datos, junto al hash. Opcionalmente, también podría incluir una segunda sal para toda la aplicación ("pimienta") almacenada en otro lugar, pero no es crítica.

    
respondido por el D.W. 08.08.2012 - 09:36
fuente

Lea otras preguntas en las etiquetas

¿Podría alguien explicar? Inyección remota post-SQL ¿Protección de fuente personalizada?