Ce inseamna salt si pepper la hash-urile de parole?
Salt si pepper sunt straturi suplimentare de protectie care fac atacurile in masa mult mai dificile.
Ce face salt-ul
Salt-ul este o valoare suplimentara adaugata inainte de calcularea hash-ului. Astfel, parolele identice nu produc automat aceleasi hash-uri.
Acest lucru face ca tabelele precalculate și comparațiile de masă să fie semnificativ mai puțin eficiente.
Ce rol are pepper-ul
- Pepper este de obicei o valoare secreta suplimentara pastrata in afara bazei de date cu parole.
- Este menit să prevină un furt pur de baze de date să fie suficient pentru a ataca toate hashurile la fel de bine.
- Pepper completeaza salt-ul, dar nu il inlocuieste.
De ce acest lucru contează pentru scurgeri reale
Hashing fără sare nu este suficient astăzi. Chiar dacă o metodă de hashing a fost aleasă corect, sarea și adesea și piperul cresc rezistența la evaluarea sistematică.
Este încă important pentru utilizatori: parolele puternice și unice reprezintă primul strat de apărare.
Rezumat rapid
Cele mai importante acțiuni din acest articol, pe scurt.
- La dezvoltare, tratați sarea ca pe o cerință de bază.
- Folosiți Pepper numai cu gestionarea cheilor curată.
- Nu presupuneți că stocarea bună pe server compensează parolele proaste ale utilizatorului.
Întrebări frecvente
Creează acum o parolă puternică
Folosește generatorul Zenkey.click pentru a crea imediat o parolă aleatorie puternică sau o frază de acces sigură.
Argon2 vs. bcrypt vs. scrypt: ce protejeaza mai bine parolele?
Dacă vrei să continui, acesta este următorul material logic de citit.
Argon2, bcrypt si scrypt au puncte forte diferite, dar implementarea si parametrii sunt la fel de importanti ca numele algoritmului.