El hash con sal es un mejor enfoque para la seguridad. Quiero saber contra qué tipo de ataque protege la salazón, por ejemplo. escuchas ilegales.
A continuación, quiero saber si el valor de sal es el mismo para la misma contraseña. Supongamos que el servidor mantiene la contraseña y un ramdom salt. Cuando el usuario desea iniciar sesión, produce un ramdom salt y envía el hash. De esta manera, el hash del servidor y el usuario no tienen forma de coincidir. ¿Mi opinión es correcta?
Quiero saber contra qué tipo de ataque protege la salazón, por ejemplo. escuchas ilegales.
Protege contra los ataques de fuerza bruta. Consulte esto . Tenga en cuenta que el espionaje es algo que le preocupa por los datos en tránsito , cuando se envía entre el cliente y el servidor. La contraseña hash para proteger los datos en reposo , cuando están almacenados en el servidor. (Para proteger las contraseñas en tránsito, en su viaje a través de la red desde el cliente al servidor, use HTTPS. Apuesto a que es otra cuestión).
Supongamos que el servidor mantiene la contraseña y un ramdom salt. Cuando el usuario desea iniciar sesión, produce un ramdom salt y envía el hash. De esta manera, el hash del servidor y el usuario no tienen forma de coincidir. ¿Mi opinión es correcta?
No, no entiende cómo se realiza el hashing de contraseñas. El cliente no tiene la contraseña, por lo que el usuario no tiene sal. Así que el problema de las sales que no coinciden nunca surge.
En su lugar, el cliente envía el passwod sin copiar al servidor. El servidor tiene un único salt por contraseña. La misma sal se usa cuando se hasheado originalmente una nueva contraseña para almacenamiento, y cuando se comprueban las contraseñas al iniciar sesión. De esa manera, los hashes se pueden comparar porque el servidor usó el mismo salt en ambas ocasiones.
Lea otras preguntas en las etiquetas hash