Сообщение Re[3]: Вопрос по сранению хеша и соли в базе данных от 26.08.2015 13:15
Изменено 26.08.2015 13:17 ·
Здравствуйте, pva, Вы писали:
C>>> Если для того что-бы клиент смог создать правильный ключь ему необходима соль из базы данных, то по какому условию эта соль ему выдаётся? Я вижу два варианта:
C>>> Первый: соль выдаётся по имени аккаунта. В таком случае происходит довольно абсурдная ситуация, в которой любой знающий аккаунты может вытянуть все соли, и смысл изначально её использовать становится сомнительным.
Вроде уже объяснили почему соль не является секретом. Но вроде ещё не объяснили, почему её нужно выбирать осторожно. Как мне кажется, что уже есть нагенерённые радужные таблицы для соли "admin", "test", "1" (id админа нередко именно такой).
C>>> Второй: она выдаётся по некому хэшу на основе только пароля. В таком случае непонятно, зачем вообще хранить хэш от соли рядом с хэшем без соли.
Хеш от соли — вещь бессмысленная. Хранят саму соль. Хеш без соли — хранить нельзя.
pva>Почему соль не сделать сеансовой?
Это как? Если ты её не сохранишь в БД, то как ты потом пароль проверять-то будешь?
C>>> Если для того что-бы клиент смог создать правильный ключь ему необходима соль из базы данных, то по какому условию эта соль ему выдаётся? Я вижу два варианта:
C>>> Первый: соль выдаётся по имени аккаунта. В таком случае происходит довольно абсурдная ситуация, в которой любой знающий аккаунты может вытянуть все соли, и смысл изначально её использовать становится сомнительным.
Вроде уже объяснили почему соль не является секретом. Но вроде ещё не объяснили, почему её нужно выбирать осторожно. Как мне кажется, что уже есть нагенерённые радужные таблицы для соли "admin", "test", "1" (id админа нередко именно такой).
C>>> Второй: она выдаётся по некому хэшу на основе только пароля. В таком случае непонятно, зачем вообще хранить хэш от соли рядом с хэшем без соли.
Хеш от соли — вещь бессмысленная. Хранят саму соль. Хеш без соли — хранить нельзя.
pva>Почему соль не сделать сеансовой?
Это как? Если ты её не сохранишь в БД, то как ты потом пароль проверять-то будешь?
Re[3]: Вопрос по сранению хеша и соли в базе данных
Здравствуйте, pva, Вы писали:
C>>> Если для того что-бы клиент смог создать правильный ключь ему необходима соль из базы данных, то по какому условию эта соль ему выдаётся? Я вижу два варианта:
C>>> Первый: соль выдаётся по имени аккаунта. В таком случае происходит довольно абсурдная ситуация, в которой любой знающий аккаунты может вытянуть все соли, и смысл изначально её использовать становится сомнительным.
Вроде уже объяснили почему соль не является секретом. Но вроде ещё не объяснили, почему её нужно выбирать осторожно. Как мне кажется, что уже есть нагенерённые радужные таблицы для соли "admin", "test", "1" (id админа нередко именно такой).
C>>> Второй: она выдаётся по некому хэшу на основе только пароля. В таком случае непонятно, зачем вообще хранить хэш от соли рядом с хэшем без соли.
Хеш от соли — вещь бессмысленная. Хранят саму соль. Хеш без соли — хранить нельзя. Хранят хеш солёного пароля и соль.
pva>Почему соль не сделать сеансовой?
Это как? Если ты её не сохранишь в БД, то как ты потом пароль проверять-то будешь?
C>>> Если для того что-бы клиент смог создать правильный ключь ему необходима соль из базы данных, то по какому условию эта соль ему выдаётся? Я вижу два варианта:
C>>> Первый: соль выдаётся по имени аккаунта. В таком случае происходит довольно абсурдная ситуация, в которой любой знающий аккаунты может вытянуть все соли, и смысл изначально её использовать становится сомнительным.
Вроде уже объяснили почему соль не является секретом. Но вроде ещё не объяснили, почему её нужно выбирать осторожно. Как мне кажется, что уже есть нагенерённые радужные таблицы для соли "admin", "test", "1" (id админа нередко именно такой).
C>>> Второй: она выдаётся по некому хэшу на основе только пароля. В таком случае непонятно, зачем вообще хранить хэш от соли рядом с хэшем без соли.
Хеш от соли — вещь бессмысленная. Хранят саму соль. Хеш без соли — хранить нельзя. Хранят хеш солёного пароля и соль.
pva>Почему соль не сделать сеансовой?
Это как? Если ты её не сохранишь в БД, то как ты потом пароль проверять-то будешь?