Засоление пароля - есть ли лучшие варианты, чем использование метки времени?

Question

В настоящее время я создаю пару сайтов ASP.NET MVC 2, и мне интересно, какие у меня есть варианты для ввода пароля.Работая с PHP, я обычно получал метку времени регистрации пользователя, затем добавлял ее в конец строки пароля, прежде чем использовать SHA1 для хеширования всего.Мой инстинкт заключается в том, что такого подхода может быть недостаточно.

Я в любом случае довольно плохо знаком с администрированием пользователей с ASP.NET, поэтому я считаю, что в моих интересах было бы начать с лучших практик с самого начала,Я знаю, что в веб-формах ASP.NET доступно встроенное администрирование пользователей, но я не уверен насчет MVC.

Answer 1

Единственный смысл SALT - предотвращение радужных атак, когда несколько пользователей имеют одинаковый хэш для своего пароля, поэтому, если отменить один пароль успешно, вы также знаете, что это пароль для всех остальных с таким же хешем.Даже соль, состоящая из одной цифры, предотвратит это, поскольку два пользователя с одним и тем же паролем будут иметь разные хэши, если у них разные соли.

Пока соль - это то, что не изменится, а будет другимдля каждого пользователя любое значение будет работать хорошо.Временная метка их регистрации при условии, что вы не обновите это поле (что приведет к аннулированию их хэша пароля и помешает входу в систему), является хорошим выбором.