Што такое соль і перац у хэшах пароляў?
Соль і перац - дадатковыя механізмы абароны хэшаў пароляў. Яны ўскладняюць масавыя атакі і павышаюць устойлівасць у выпадку ўцечак.
Што робіць Соль
Соль - гэта дадатковае значэнне, якое ўводзіцца для кожнага пароля або для кожнага карыстальніка перад вылічэннем хэша. Гэта азначае, што ідэнтычныя паролі не ствараюць аўтаматычна аднолькавыя хэш-значэнні.
Гэта робіць папярэдне разлічаныя табліцы і параўнанне мас значна менш эфектыўнымі.
Чым Pepper адрозніваецца
- Перац звычайна з'яўляецца дадатковым сакрэтным значэннем па-за базай дадзеных пароляў.
- Гэта прызначана для прадухілення таго, што чыстага крадзяжу базы дадзеных будзе дастаткова для аднолькавай атакі на ўсе хэшы.
- Перац дапаўняе соль, але не замяняе яго.
Чаму гэта лічыцца сапраўднымі ўцечкамі
Перамешвання без солі сёння недастаткова. Нават калі метад мяшання быў абраны правільна, соль і часта таксама перац павялічваюць устойлівасць да сістэматычнай ацэнкі.
Гэта па-ранейшаму важна для карыстальнікаў: надзейныя і ўнікальныя паролі - гэта першы ўзровень абароны.
Хуткі кантрольны спіс
Найбольш важныя дзеянні з гэтага кіраўніцтва ў кампактным выглядзе.
- Пры распрацоўцы ставіцеся да солі як да асноўнага патрабаванні.
- Выкарыстоўвайце Pepper толькі з чыстым кіраваннем ключамі.
- Не думайце, што добрае сховішча на серверы кампенсуе дрэнныя паролі карыстальнікаў.
Агульныя пытанні
Стварыце надзейны пароль
Выкарыстоўвайце генератар Zenkey.click, каб адразу стварыць надзейны выпадковы пароль або бяспечную фразу-пароль.
Argon2 супраць bcrypt супраць scrypt: Які метад лепш абараняе паролі?
Калі вы хочаце працягваць, гэта наступнае кіраўніцтва для чытання.
Argon2, bcrypt і scrypt - гэта метады хэшавання пароляў з рознай сілай. Сучасныя сістэмы часта спадзяюцца на Argon2, калі асяроддзе падтрымлівае яго належным чынам.