Использование соли - это все хорошо?

Question

Я не претендую на звание эксперта в области безопасности, но мне кажется, что добавление соли не имеет большого значения.

Например, если пароль пользователя - john1970, а соль - 123456, это означает, что пароль - 123456john1970, в то время как это усложняет задачу для злоумышленника (при использовании атаки по словарю, например, радужных таблиц), атакующий вполне может догадаться, что первая часть - это соль. Я считаю, что использование нестандартных методов (таких как XORing с некоторым ключом или применение нескольких простых математических операций к кодам символов) гораздо более эффективно. Я знаю, что большинство из вас, вероятно, не согласятся со мной, но мне кажется, это имеет больше смысла.

Ваше мнение?

Дубликат:

• Нужна помощь в понимании пароля
• Неслучайная соль для хэшей паролей

Answer 1

Цель соли - не только запутать пароль, но и увеличить его длину. Не очень помогает, что хакер догадывается, что есть соль, если он не знает, что это такое. Если соль удваивает длину пароля, это увеличивает число возможных слов до второй степени. Ваш метод XOR этого не делает.

Answer 2

"1-2-3-4-5? Это самая глупая комбинация, о которой я когда-либо слышал в своей жизни! Это то, что идиот мог бы иметь в своем багаже!"

Ааа ... Космические шары ...

Во всяком случае, да, если вы используете 123456 в качестве «соли», 007, безопасность может быть не такой хорошей, как могла бы быть. Тем не менее, вы делаете это сложнее, вы устраняете атаки по словарю как средство взломать его (если они не знают соль ...). Конечно, это все еще может быть грубой силой, но, по правде говоря, ничто не может быть взломано. Все, что вы делаете, это все, чтобы сделать его труднее взломать, потому что невозможно взломать невозможно.

Answer 3

Я не могу говорить с математикой, стоящей за вопросом, но я буду использовать физическую метафору. Только потому, что я знаю, что замок на ручке двери в моем доме можно сломать ударным инструментом или паяльной лампой, я все равно закрываю дверь. И я нахожусь в многоквартирном доме, у которого есть еще одна дверь, чтобы войти в здание, и я тоже запираю ее, хотя можно сказать, что эта дверь - пустая трата времени, потому что у многих людей есть ключи от нее, и часто ее открывают. 1001 *

Безопасность - это набор концентрических защит, некоторые из которых более интересны, чем другие. Это суждение о том, какая защита - это больше работа, чем выгода, например, хэширование + соль + ROT13, вероятно, добавит больше работы, чем пользы.