¿Adición de sal en el hashing? [duplicar]

Navega tus respuestas
1

Puede que me equivoque aquí, pero al leer sobre sal me preguntaba si si utilizamos la misma sal para todas las contraseñas guardadas en nuestra base de datos, los usuarios que tengan la misma contraseña podrían generar el mismo hash incluso después de agregar sal, por lo tanto, disminuirán el valor propósito de agregar sal.

Si es cierto, ¿deberíamos usar solo sal aleatoriamente en las bases de datos?

¿Y cuál debería ser una longitud de sal óptima?

Alguien también podría explicar cómo se decide la sal, si se trata de datos previamente acordados que se agregan solo a través del código o si se guardan en algún lugar desde donde se accede una y otra vez para cada una de las contraseñas.

    
pregunta Harshit Bhatt 15.04.2015 - 02:53
fuente

2 respuestas

1

Sí, si usa el mismo sal, la misma contraseña dará como resultado el mismo hash.

La idea general detrás del almacenamiento seguro de contraseñas es maximizar la cantidad de trabajo computacional que un adversario deberá realizar en caso de que tenga acceso a las credenciales almacenadas.

El propósito de una sal es mitigar el valor de los hashes precalculados (es decir, sin trabajo adicional, ya que ya existen). En el caso de almacenamiento sin sal, un adversario puede simplemente comparar su lista con las contraseñas almacenadas. Si tuviera que usar la misma sal, entonces, aunque se tendría que producir una nueva lista de hashes, solo se tendría que hacer una vez. Las sales por contraseña requieren un nuevo ataque de fuerza bruta para cada contraseña.

Puede almacenar la sal con el hash, ya que su contribución predominante a la seguridad reside en su singularidad (y tamaño) en lugar de su secreto.

Aquí hay un buen recurso, y sugeriría prestar atención a las funciones de una sola vía adaptables que permiten el estiramiento de las teclas:

enlace

    
respondido por el Arran Schlosberg 15.04.2015 - 06:38
fuente
0

SALT se supone que no es secreto = > Lo mismo para todos los usuarios < = > sin sal en absoluto.

Puede ver una buena explicación aquí: Seguridad de hash

    
respondido por el Nikolai 15.04.2015 - 08:45
fuente

Lea otras preguntas en las etiquetas

Hacer que SERVER_NAME sea confiable en IIS ¿Qué método de reenvío de puerto es más seguro?