给定:
$ salt - 伪随机生成的足够长度的字符串
$ pepper - 一个足够强大的私钥,只有存储密码的数据库管理员才知道
你会看到吗?
$ hash = bcrypt(hmac($ userpassphrase,$ pepper),$ salt)
有意义地优越于
$ hash = bcrypt($ userpassphrase,$ salt)
考虑到管理/储存胡椒和盐的额外负担?
我的假设是,hmac没有显着增强产生的$ hash,并且存储$ pepper的负担超过任何所谓的好处......但我希望听到知情意见.
我喜欢快照框架,但我讨厌每次迭代运行'cabal install'(小代码更改)我想试试.
有快速迭代的替代方案吗?
我注意到没有为可变向量定义生成函数.我想知道是否有另一种方法来定义haskell中的多维可变矢量