私はユーザーデータベースを作成していて、セキュリティについて考えていました。それは私に考えさせられました。すべての人にユニークユーザーソルトを設定する場合、サイトソルトを使用することは本当に価値があります。
md5(GLOBAL_SALT . $password . $user_salt);
vs
md5($password . $user_salt);
私の考えでは、サイトがハッキングされた場合、ハッカーはとにかくグローバルソルトにアクセスできるようになります。
質問する
68 次
1 に答える
0
あなたが話しているのはコショウとも呼ばれます。塩とコショウには別の目的があります:
- 塩はレインボーテーブルの攻撃を防ぎます。
- コショウは、状況によっては辞書攻撃から保護することができます。
実際には、攻撃者がサーバーを制御しているか、ペッパーが使用されている場合はデータベースにアクセスするだけであるか(SQLインジェクション)によって異なります。私は最近、パスワードのハッシュに関するチュートリアルを書きました。そこでは、重要なポイントを説明しようとしました。
MD5はパスワードハッシュには速すぎるという事実のように、考慮すべき他のことがあります。代わりに、BCryptのような鍵導出関数を使用する必要があります。
于 2012-10-25T09:48:20.397 に答える