私はウェブアプリケーションを開発しています。セキュリティの観点から、パスワードがクライアントからサーバーに送信される間、ソルト付きハッシュが必要になります。 今私の問題は、ソルトをランダムに生成し、それをパスワードに追加して組み合わせをハッシュした場合、このパスワードをどのように検証するかです。生成されるソルトはランダムであるため、ソルトとパスワードの組み合わせのハッシュは毎回異なります。ユーザー資格情報とともに生成された同じソルトをサーバーに送信すると、ソルトが公開されます 。公開されたソルトは、パスワードをクラックしようとする人が公開されたソルトに別のパスワードを追加してハッシュを取得し、それを照合できるため、同様の問題を引き起こします。多数の Web サイトを確認し、スタック オーバーフローについて質問しましたが、私のニーズに正確に一致するものはありませんでした。
ブラウザのメモリを読み取り、入力したパスワードを盗むことができるツールがあります。したがって、クライアント側でもソルトハッシュが必要です。