Что такое соль и перец в хэшах паролей?
Соль и pepper усиливают защиту хешей паролей, усложняя массовые атаки и повышая устойчивость системы при утечках.
Зачем нужна соль
Соль — это дополнительное значение, которое добавляют к паролю перед вычислением хеша. Благодаря ей одинаковые пароли не превращаются автоматически в одинаковые результаты.
Это резко снижает эффективность заранее подготовленных таблиц и массовых сравнений.
Чем pepper отличается от соли
- Pepper — это обычно дополнительный секрет вне самой базы паролей.
- Он нужен, чтобы одной кражи базы было недостаточно для одинаково удобной атаки на все хеши.
- Pepper дополняет соль, но не заменяет её.
Почему это важно в реальных инцидентах
Одного хеширования без соли сегодня уже недостаточно. Даже при хорошем алгоритме соль, а иногда и pepper, заметно повышают устойчивость к систематическому разбору базы.
Но для пользователя правило не меняется: сильные и уникальные пароли остаются первой линией защиты.
Быстрый контрольный список
Самые важные действия из этого руководства в компактной форме.
- При разработке относитесь к соли как к обязательной части схемы.
- Pepper используйте только там, где можете нормально управлять секретами.
- Не рассчитывайте, что серверная защита компенсирует плохие пароли пользователей.
Общие вопросы
Создайте надежный пароль сейчас
Используйте генератор Zenkey.click, чтобы сразу создать надежный случайный пароль или безопасную парольную фразу.
Argon2, bcrypt или scrypt: какой метод лучше защищает пароли?
Если вы хотите продолжить, это следующее руководство, которое стоит прочитать.
Argon2, bcrypt и scrypt — это разные подходы к хешированию паролей. Во многих современных системах Argon2 считается сильным выбором, если он настроен корректно.