Хранить зашифрованный пароль и соль или только хранить зашифрованный пароль?

Question

Мне нужна система входа в систему для проверки пароля пользователя.Я знаю о соляных паролях, но я должен хранить соль и зашифрованный пароль, или я должен хранить только зашифрованный пароль, и соль находится где-то в файле конфигурации моего приложения?

Пожалуйста, за и против, если они есть,спасибо!

Answer 1

Это зависит от того, как вы используете соли для шифрования ...

Если соль меняется не часто :
Я бы хранил соль вместе с главным ключом вбезопасное место.Хранение его вместе с каждым паролем может привести к большому количеству избыточных данных.Кроме того, база данных, вероятно, не так безопасна, как место хранения главного ключа.Имейте в виду, что соль может быть важной частью безопасности пароля.(В зависимости от длины и прочности паролей, выбранных пользователями ...)

Если соль часто изменяется , то есть с каждым зашифрованным паролем:
В этом случае вам потребуетсяхранить огромное количество солей.Так как одна соль полезна только для расшифровки одного пароля, это не такая важная часть информации, как в приведенном выше примере, поэтому я думаю, что хранить ее в БД вместе с паролями можно.В любом случае, хранение солей в конфиге приложения может стать грязным.(Если только вы не создадите специальную базу данных солей или что-то в этом роде.)

Answer 2

Если у вас есть разные соли для каждого пароля, вам нужно будет хранить соль и хешированный пароль в самой БД.Если вы используете только одну соль для всех паролей, вы можете предпочесть хранить их в конфигурационном файле другого типа.