Задать вопрос
@Alexeevich
идентификация-пользователей

Как использовать соль в шифровании?

День добрый.

Изучаю web, сделал страницу регистрации пользователя.
На сервере "супер_скрипт" выполняет хеширование\соление пароля после чего в БД записывается хеш, в отдельный столбец записываю соль.

А как пользователя авторизовать? Что с его логином и паролем делать?
Брать пароль который он прислал обрабатывать его тем же "супер_скриптом" но вместо соли использую не случайное значение а то что записал в БД при регистрации пользователя?

Запутался (
  • Вопрос задан
  • 617 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
kumaxim
@kumaxim
Web-программист
Имеем в базе
  • соль
  • пароль
  • имя юзера


Шифрование пароля выглядит так:
sha1( sha1(соль) + sha1(пароль) )
знак "+" в моем контексте есть объединение строк.

При регистрации ты генерируешь соль - случайные 6 букв/цифр. В БД соль хранится в открытом виде. При авторизации - соль достается из БД.

Как вариант, соль для каждого юзера можно не генерировать, а задать где-нибудь константой в конфигурационном файле.
Ответ написан
Комментировать
Комментировать
@Alexeevich Автор вопроса
Функция у меня есть...бд с паролем, логином и солью тоже. Что делать с солью после регистрации пользователя я не понимаю))
Ответ написан
Комментировать
Комментировать
@vilgeforce
Раздолбай и программист
А смысл хранить в одной таблице имя, хэш пароля и соль? База с солью позволяет успешно брутить пароли :-)
Ответ написан
3 комментария
3 комментария
OLS
@OLS
А если вдруг интересует перфекционизм, то рекомендую - Salted Challenge Response Authentication Mechanism (SCRAM) RFC5802 - алгоритм защищен :
- от перехвата на сетевом уровне;
- от компрометации хранимой базы паролей;
- от вычисления rainbow-таблиц;
- приемлемо - от полного перебора.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Senior ML Engineer (Computer Vision)
Gradient
от 450 000 ₽
Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)
MYRTEX
от 40 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать дизайн telegram mini app
07 мая 2024, в 06:11
5000 руб./за проект
Создать бекенд сайта по готовому дизайну и верстке (писать на laravel)
07 мая 2024, в 02:39
100000 руб./за проект
Cоздание мобильного приложения (обновленное объявление)
07 мая 2024, в 01:11
90000 руб./за проект
Ещё заказы