Задать вопрос
sdevalex
@sdevalex

Хеш пароля, уникальная соль?

Есть ли статья по теме создания хороших хешей? Где хранить уникальную соль?
  • Вопрос задан
  • 2828 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
Anton_from_Amber
@Anton_from_Amber
Намедни статью переводную опубликовали. Как раз про использование соли.
Если у вас паранойя, то соль лучше не хранить, а высчитывать на основе относительно доступных данных. Возьмите, к примеру артикул первой покупки пользователя, допишите сумму товара, добавьте общую константную соль и заверните это всё в MD5. Если покупок не было, то первый просмотенный товар (думайте сами). Если у вас данные по деньгам хранятся в другой БД получится достаточно стойко.
Можно генерить соль и новый хеш на основе последней записи в микроблоге или логине прикреплённого менеджера. фантазируйте.
Главное, ограничить возможность доступа к этим данным злоумышленника при частичной компроментации системы. К примеру у него естьтаблица с логинами и хешем, есть доступ к контенту сайта, но не получилось получить БД билинга. Или нет доступа к файловой системе, а вы завязались на параметры аватары. Уже будет сложнее.
Ответ написан
Комментировать
iStyx
@iStyx
Первое, что пришло в голову:

hashed_password = sha1(md5(password)+password)
Ответ написан
Комментировать
HarpyWar
@HarpyWar
Процитирую товарища varnar:

чтобы перебор не помог нало использовать bcrypt и солить его SHA-512 в несколько итераций, чтобы генерирование нужного хеша занимало, ну, например полсекунды.
Пароли надо ШИФРОВАТЬ а не хешировать, хэширование рассчитано на быстрое вычисление хэша, а нам как раз этого и не надо.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы