Czym są sól i pepper w hashach haseł?
Sól i pepper wzmacniają ochronę hashy haseł, utrudniają masowe ataki i poprawiają odporność systemu po wycieku.
Co robi sól
Sól to dodatkowa wartość wprowadzana dla każdego hasła lub użytkownika przed obliczeniem skrótu. Oznacza to, że identyczne hasła nie generują automatycznie tych samych wartości skrótu.
To sprawia, że wstępnie obliczone tabele i porównania mas są znacznie mniej skuteczne.
Czym Pepper jest inny
- Pieprz jest zazwyczaj dodatkową tajną wartością poza rzeczywistą bazą danych haseł.
- Ma to na celu zapobieganie sytuacji, w której zwykła kradzież bazy danych wystarczyłaby do równie skutecznego ataku na wszystkie skróty.
- Pieprz uzupełnia sól, ale go nie zastępuje.
Dlaczego to się liczy w przypadku prawdziwych wycieków
Haszowanie bez soli nie jest dziś wystarczające. Nawet jeśli metoda haszowania została wybrana prawidłowo, sól, a często także pieprz, zwiększają odporność na systematyczną ocenę.
Dla użytkowników jest to nadal ważne: silne i unikalne hasła stanowią pierwszą warstwę obrony.
Szybka lista
Najważniejsze działania z tego poradnika w krótkiej formie.
- Przy opracowywaniu traktuj sól jako podstawowy wymóg.
- Używaj Peppera tylko z czystym zarządzaniem kluczami.
- Nie zakładaj, że dobra pamięć serwera rekompensuje złe hasła użytkowników.
Najczęstsze pytania
Utwórz silne hasło teraz
Skorzystaj z generatora Zenkey.click, aby od razu stworzyć mocne losowe hasło albo bezpieczną frazę hasłową.
Argon2, bcrypt czy scrypt: która metoda lepiej chroni hasła?
Jeśli chcesz czytać dalej, od tego materiału najlepiej przejść dalej.
Argon2, bcrypt i scrypt to różne podejścia do haszowania haseł. W wielu nowoczesnych systemach Argon2 uchodzi za bardzo mocny wybór, jeśli jest poprawnie skonfigurowany.