Había investigado mucho sobre este tema.
Antes de las investigaciones
Descubrí que algunas personas sugieren que ocultar la sal no es importante: enlace
Pero también este artículo sugiere utilizar hash con clave , que debe ocultar algún tipo de clave.
De diferentes fuentes aprendí que la mejor manera de hacer hash es usar bcrypt .
Describiendo la situación
cadena secreta es una cadena aleatoria que se crea mediante el siguiente código: bin2hex(openssl_random_pseudo_bytes(64));
El usuario ingresa al sitio web, le dimos una cadena que contiene tanto cadena secreta como la sal . Y almacenamos la versión con hash de cadena secreta usando la sal pero no almacenando sal.
La próxima vez, el usuario ingresa al sitio web y copia & pega cadena secreta junto con salt y lo verificamos mediante la función hash usando esos .
Pregunta
Puedo ocultar sal a través de entregársela al usuario para que la almacene junto con cadena secreta . En este caso, ¿el hacker podrá usar el ataque de fuerza bruta? ¿Cuál será la ventaja de esconder la sal?
no es una contraseña, por lo que el usuario no debería recordarla, solo necesitamos Encuentre una manera de evitar que el atacante obtenga la cadena original de ese sitio web. dado al usuario