ern*_*ern 7 asp.net security cryptography salt
已经有几个的伟大关于盐的最佳做法的讨论,似乎铺天盖地的建议是生成每个密码不同的盐,并将其存储在旁边数据库中的密码.
但是,如果我正确理解了盐的目的,那就是减少彩虹表攻击会让你受到损害的可能性.因此,我理解通过将其存储在数据库中,最好为每个用户更改它,但是如果盐不在数据库附近怎么办?如果我在代码中存储单个salt值(在Web服务器上将存储在已编译的dll中),如果攻击者以某种方式获得对数据库的访问权限,那么它是否会起到同样的作用?在我看来,它更安全.
Mal*_*ist 15
盐的目的是要求每个密码重新生成彩虹表.如果您使用单一盐,黑客/黑客只需要重新生成一次彩虹表,并且他拥有您所有的密码.但是如果你为每个用户生成一个随机的,他必须为每个用户生成一个.黑客部分的成本要高得多.这就是为什么你可以用纯文本存储一个盐,如果黑客知道它只要有多个就没关系.
默默无闻的安全性并不好,微软告诉我们这一点.
| 归档时间: |
|
| 查看次数: |
2689 次 |
| 最近记录: |