Hvad er salt og pepper i adgangskode-hashes?
Salt og pepper er ekstra beskyttelseslag omkring adgangskode-hashes. De gør masseangreb sværere og forbedrer modstandskraften ved lækager.
Hvad salt gør
Salt er en ekstra værdi, der indføres pr. adgangskode eller pr. bruger, før hashen beregnes. Det betyder, at identiske adgangskoder ikke automatisk genererer de samme hash-værdier.
Dette gør forudberegnede tabeller og massesammenligninger væsentligt mindre effektive.
Hvordan Pepper er anderledes
- Pepper er typisk en ekstra hemmelig værdi uden for den faktiske adgangskodedatabase.
- Det er beregnet til at forhindre, at et rent databasetyveri er tilstrækkeligt til at angribe alle hashes lige godt.
- Pepper supplerer salt, men erstatter det ikke.
Hvorfor dette tæller for reelle lækager
Hashing uden salt er ikke tilstrækkeligt i dag. Selvom en hashmetode er valgt korrekt, øger salt og ofte også peber modstanden mod systematisk evaluering.
Det er stadig vigtigt for brugerne: stærke og unikke adgangskoder er det første forsvarslag.
Kort overblik
De vigtigste punkter fra artiklen i komprimeret form.
- Når du udvikler, skal du behandle salt som et grundlæggende krav.
- Brug kun Pepper med ren nøglehåndtering.
- Antag ikke, at god serverlagring kompenserer for dårlige brugeradgangskoder.
Ofte stillede spørgsmål
Lav en stærk adgangskode nu
Brug Zenkey.clicks generator til at lave en stærk tilfældig adgangskode eller en sikker adgangssætning med det samme.
Argon2 vs. bcrypt vs. scrypt: Hvilken metode beskytter adgangskoder bedre?
Hvis du vil læse videre, er det her den mest naturlige næste artikel.
Argon2, bcrypt og scrypt er adgangskode-hash-metoder med forskellige styrker. Moderne systemer er ofte afhængige af Argon2, hvis miljøet understøtter det korrekt.