Utilizzo PHPass per cancellare le mie password per un lungo periodo. Ammetto che ci sono ancora cose che non capisco completamente (o ignoro) per avere una password correttamente, quindi oggi stavo rivedendo tutte le informazioni che ho potuto trovare su di esso.Salatura corretta e utilizzo di PHPass
revisione dei documenti PHPass, ho steped in questo:
Oltre l'hashing reale, phpass genera in modo trasparente sali casuali quando una nuova password o passphrase viene assegnata, e codifica il tipo di hash, il sale, e il conteggio delle iterazioni della password viene conteggiato nella "stringa di codifica hash" restituita. Quando phpass autentica una password o passphrase contro un hash memorizzato, in modo simile estrae in modo trasparente e utilizza l'identificatore del tipo di hash, il salt e il conteggio dell'iterazione della "stringa di codifica hash". Quindi, non è necessario preoccuparsi di salatura e stretching da soli - phpass si prende cura di questi per voi.
Ho messo in evidenza la frase che mi ha infastidito.
Ho sempre pensato che il sale debba essere un po 'segreto, nel senso che non dovrebbe essere noto all'attaccante. Quindi, se capita correttamente, PHPass memorizza il sale usato nello stesso hash in modo che sia in grado di usarlo quando si confrontano le password e verificare se è valido.
Le mie domande sono
- È sicuro? Se l'hash è compromesso, l'attaccante ha il sale usato per cancellare la password ... C'è qualcosa che mi manca qui.
- Sono qui veramente libero di preoccuparmi di salare le password? Posso davvero fare affidamento su PHPass?
Con l'aggiunta 'salt' si aggiunge un altro strato di sicurezza. Questo è il principio principale di Defence in Depth. Ma se _phpass_ aggiunge già il sale, non aggiungerà un altro livello. – Leri
1.) A quale tipo di sicurezza siete interessati? Puoi renderlo più concreto? - 2.) Puoi rispondere con sicurezza alla seguente domanda entro una frazione di secondo con sì o no: "Phpass usa un sale?" - Dì quanto è certa e quanto velocemente puoi rispondere e anche la risposta. – hakre
@hakra Mi riferisco all'atto di memorizzare il sale insieme alla password. Ho sempre pensato che archiviarlo in posti diversi (leggere i campi DB, per esempio) fosse meglio. –