đưa ra:bcrypt có được cải thiện bằng cụm mật khẩu hmac'd không?
$ muối - một chuỗi tạo giả ngẫu nhiên đủ chiều dài
$ ớt - một khóa bí mật đủ mạnh, chỉ được biết đến với các quản trị viên của db nơi passphrase được lưu trữ
bạn sẽ thấy
$ hash = bcrypt (HMAC ($ userpassphrase, $ hạt tiêu), $ muối)
là có ý nghĩa vượt trội so với
$ hash = bcrypt ($ userpassphrase, $ salt)
cho thêm gánh nặng quản lý/lưu trữ $ hạt tiêu cũng như $ muối?
giả định của tôi là hmac không tăng cường đáng kể kết quả băm $, và gánh nặng lưu trữ $ tiêu lớn hơn bất kỳ lợi ích được cho là ... nhưng tôi rất thích nghe ý kiến được thông báo.
Ý bạn là gì bởi "mật khẩu riêng"? Ai có quyền truy cập vào nó? Làm thế nào/ở đâu bạn nhận được nó? – Kaito
xin lỗi nếu điều đó không rõ ràng - khóa riêng cho hmac. tôi sẽ chỉnh sửa ở trên để làm rõ, cảm ơn! –