mi occupo di fare l'autenticazione nel nostro .Net MVC 4 Web Application e ho colpito un urto riguardante hashing delle password, memorizzazione e di autenticazione.Dove conservare il sale password e come ottenerlo
Piano è quello di utilizzare attualmente 2 Sali, 1 dinamico (per utente) e 1 statico (Web App costanti) e una forte funzione di hashing.
dato un semplice tabella utente che contiene un nome utente e una password:
- devo conservare il sale per ogni utente in una colonna della tabella utente?
Le mie preoccupazioni sono che, così facendo, dovrò ottenere l'utente dal database nella memoria dell'applicazione Web solo con il suo nome utente. C'è qualche tipo di attacco in cui ciò potrebbe essere problematico? Idealmente mi piacerebbe che fosse un'autenticazione di una richiesta SQL a un passo/uno.
Perchè sono preoccuparsi troppo? Esiste un'alternativa al sale "per utente" in cui posso ancora eseguire un'autenticazione in un'unica fase?
anche similitudine: http://stackoverflow.com/questions/1219899/where-do-you-store-your-salt-strings – user956584