Какой лучший способ засолить пароль?

Question

Подскажите, пожалуйста, как лучше солить пароль. Какой метод лучше?

Спасибо.

Answer 1

Неважно, как ты это делаешь. Это просто способ получить разные хэши для одного и того же пароля.

Если вы считаете, что вам нужно 256 хешей для каждого пароля, используйте один байт соли. Если вы хотите 4bn хешей для каждого пароля, используйте 4 байта соли.

Подобные компромиссы требуют гораздо больше информации о проблемной области, чем вы нам дали.

Предположим, что соль является публично видимой, так что вам не нужно беспокоиться о причудливых невообразимых методах ее предсказания - подойдет любой старый PRNG.

Answer 2

Соль - это просто применение некоторой мутации к вашему необработанному паролю перед применением хэша (или, я полагаю, шифрования), чтобы атака по радужной таблице была более сложной. Это может быть так просто, как:

md5("saltstring" + password);