Vad är salt och pepper i lösenordshashar?
Salt och pepper är extra skyddslager som gör massattacker betydligt svårare.
Vad salt gör
Salt är ett tilläggsvärde som införs per lösenord eller per användare innan hashen beräknas. Det betyder att identiska lösenord inte automatiskt genererar samma hash-värden.
Detta gör förberäknade tabeller och massjämförelser betydligt mindre effektiva.
Hur Pepper är annorlunda
- Pepper är vanligtvis ett extra hemligt värde utanför den faktiska lösenordsdatabasen.
- Det är tänkt att förhindra att en ren databasstöld räcker för att attackera alla hash lika bra.
- Pepper kompletterar salt, men ersätter det inte.
Varför detta räknas för riktiga läckor
Hashing utan salt räcker inte idag. Även om en hash-metod har valts korrekt ökar salt och ofta även peppar motståndet mot systematisk utvärdering.
Det är fortfarande viktigt för användarna: starka och unika lösenord är det första försvarsskiktet.
Snabb överblick
De viktigaste punkterna från artikeln i kort form.
- När du utvecklar, behandla salt som ett grundläggande krav.
- Använd endast Pepper med ren nyckelhantering.
- Anta inte att bra serverlagring kompenserar för dåliga användarlösenord.
Vanliga frågor
Skapa ett starkt lösenord nu
Använd Zenkey.clicks generator för att direkt skapa ett starkt slumpmässigt lösenord eller en säker lösenfras.
Argon2 vs. bcrypt vs. scrypt: Vilken metod skyddar lösenord bättre?
Om du vill fortsätta läsa är det här den mest naturliga nästa artikeln.
Argon2, bcrypt och scrypt är lösenordshasningsmetoder med olika styrkor. Moderna system förlitar sig ofta på Argon2 om miljön stödjer det ordentligt.