Я знаю, что эта тема обсуждалась миллион раз.Но для меня это ново, и чем больше я читаю об этом, тем меньше понимаю, что на самом деле происходит или должно происходить.
Я добавляю соль для каждого пользователя в хешированное хранилище пароля пользователя, поэтому сохраняемый парольхеш выглядит так: хеш (пароль + perusersalt).Это приводит к тому, что одни и те же пароли разных пользователей сохраняются как разные строки в БД.Здорово.Но я не беспокоюсь о том, что кто-то взломает БД и найдет хешированные пароли.Я беспокоюсь о том, что кто-то будет грубо насиловать мой сервер на комбинации имени пользователя и пароля.В этом случае соленое и хешированное хранилище паролей бесполезно, поскольку правильная комбинация имени пользователя и пароля приведет к успешному входу в систему.Правильно?
Правильно ли я понимаю, что в этом случае соль довольно бесполезна?Поскольку сервер принимает только имя пользователя и пароль на интерфейсе (соль не передается), подойдет обычная атака по словарю, верно?
Таким образом, соль существует только для того, чтобы запутать пароль пользователя (можно получить только в обратном порядке).Радуга Таблица поиска) от кого-то, кто имеет доступ к БД.Хм.
Похожие: Мое веб-приложение даже не передает простые пароли.Пароли уже хэшированы на стороне клиента, только для того, чтобы полностью отказаться от ответственности за чьи-то украденные пароли, и все это использует SSL.
Означает ли это, что я более или менее на максимально возможном уровне безопасности, потому что правильные комбинацииимя пользователя и пароль, конечно, должны приводить к успешному входу в систему?
Спасибо за то, что вы очистили мою голову.