Tôi đã sử dụng PHPass để băm mật khẩu của mình trong một thời gian dài. Tôi thừa nhận rằng vẫn còn những điều tôi không hoàn toàn hiểu (hoặc bỏ qua) để băm một mật khẩu đúng cách vì vậy hôm nay tôi đã xem xét tất cả các thông tin tôi có thể tìm thấy về nó.ướp muối thích hợp và sử dụng PHPass
Rà soát, bổ PHPass, tôi đã steped vào đây:
Bên cạnh băm thực tế, phpass minh bạch tạo ra muối ngẫu nhiên khi một mật khẩu mới hoặc cụm từ mật khẩu được băm, và nó mã hóa kiểu băm, muối, và số lần lặp lại mật khẩu kéo dài vào "chuỗi mã hóa băm" mà nó trả về. Khi phpass xác thực mật khẩu hoặc cụm từ mật khẩu so với băm được lưu trữ, nó trích xuất một cách minh bạch tương tự và sử dụng mã định danh loại băm, muối và tính lặp lại trong chuỗi "mã hóa băm". Vì vậy, bạn không cần phải bận tâm với muối và kéo dài trên của riêng bạn - phpass sẽ chăm sóc này cho bạn.
Tôi đã in đậm câu làm phiền tôi.
Tôi luôn luôn cho rằng muối nên phần nào bí mật, theo nghĩa là nó không nên được biết đến với kẻ tấn công. Vì vậy, nếu hiểu một cách chính xác, PHPass lưu trữ muối được sử dụng trong cùng một băm để nó có thể sử dụng nó khi so sánh mật khẩu và kiểm tra nếu hợp lệ.
Câu hỏi của tôi là
- Điều này có an toàn không? Nếu băm bị tổn hại, kẻ tấn công có muối được sử dụng để băm mật khẩu ... Có điều tôi nhớ ở đây.
- Tôi ở đây thực sự miễn phí vì bận tâm về mật khẩu muối? Tôi có thể thực sự dựa vào PHPass không?
Với thêm 'salt' bạn thêm một lớp bảo mật. Đây là nguyên tắc chính của 'Defense in Depth'. Nhưng nếu _phpass_ đã thêm muối, nó sẽ không thêm một lớp khác. – Leri
1.) Bạn bảo đảm loại an ninh nào? Bạn có thể làm cho nó cụ thể hơn không? - 2.) Bạn có thể trả lời một cách tự tin câu hỏi sau đây trong một phần nhỏ của giây với có hay không: "Phượt qua có sử dụng muối không?" - Nói như thế nào chắc chắn và nhanh như thế nào bạn có thể trả lời nó và cũng là câu trả lời. – hakre
@hakra Tôi đang đề cập đến hành động lưu trữ muối cùng với mật khẩu. Tôi luôn luôn mặc dù lưu trữ nó ở những nơi khác nhau (đọc các lĩnh vực DB ví dụ) là tốt hơn. –