मान लीजिए कि आप डीबीएमएस में कितने पासवर्ड को संग्रहीत करना चाहते हैं, यह तय करने की स्वतंत्रता थी। क्या इस तरह की योजना में स्पष्ट कमजोरियां हैं?पासवर्ड हैशिंग, नमक और हैश मूल्यों का भंडारण
डीबीएमएस में संग्रहीत हैश मान बनाने के लिए, ले:
- एक मूल्य है कि नमक के हिस्से के रूप डीबीएमएस सर्वर उदाहरण के लिए अद्वितीय है,
- और के एक दूसरे हिस्से के रूप में उपयोगकर्ता नाम नमक,
- और वास्तविक पासवर्ड के साथ नमक के संयोजन बनाने के लिए,
- और SHA-256 कलन विधि का उपयोग पूरी स्ट्रिंग हैश,
- और डीबीएमएस में परिणाम की दुकान।
इसका मतलब यह होगा कि टक्कर से आने वाले किसी भी व्यक्ति को प्रत्येक उपयोगकर्ता नाम और प्रत्येक डीबीएमएस सर्वर इंस्टेंस के लिए अलग से काम करना होगा। मैं वास्तविक हैश तंत्र को नए NIST मानक हैश एल्गोरिदम (SHA-3) के उपयोग की अनुमति देने के लिए कुछ हद तक लचीला रखने की योजना बना रहा हूं, जो अभी भी काम कर रहा है।
'मूल्य जो डीबीएमएस सर्वर आवृत्ति के लिए अद्वितीय है' को गुप्त नहीं होना चाहिए - हालांकि इसे आकस्मिक रूप से प्रकट नहीं किया जाएगा। इसका उद्देश्य यह सुनिश्चित करना है कि अगर कोई अलग डीबीएमएस सर्वर उदाहरणों में एक ही पासवर्ड का उपयोग करता है, तो रिकॉर्ड किए गए हैंश अलग होंगे। इसी तरह, उपयोगकर्ता का नाम गुप्त नहीं होगा - बस पासवर्ड सही है।
क्या पासवर्ड पहले और उपयोगकर्ता नाम और 'अद्वितीय मूल्य' दूसरा, या डेटा के तीन स्रोतों के किसी अन्य क्रमपरिवर्तन के लिए कोई फायदा होगा? या तारों को interleaving के बारे में क्या?
क्या मुझे यादृच्छिक नमक मूल्य (प्रति पासवर्ड) के साथ-साथ उपर्युक्त जानकारी जोड़ने (और रिकॉर्ड) करने की आवश्यकता है? (लाभ: उपयोगकर्ता पासवर्ड का पुनः उपयोग कर सकता है और फिर भी, डेटाबेस में दर्ज एक अलग हैश प्राप्त कर सकता है। नुकसान: नमक दर्ज किया जाना चाहिए। मुझे संदेह है कि लाभ काफी नुकसान से अधिक है।)
काफी सवाल अतः संबंधित का एक बहुत - इस सूची व्यापक होने की संभावना नहीं है:
- Encrypting/Hashing plain text passwords in database
- Secure hash and salt for PHP passwords
- The necessity of hiding the salt for a hash
- Clients-side MD5 hash with time salt
- Simple password encryption
- Salt generation and Open Source software
- Password hashes: fixed-length binary fields or single string field?
मुझे लगता है कि इन सवालों के जवाब मेरे एल्गोरिथ्म का समर्थन करने वाले (हालांकि अगर आप बस एक यादृच्छिक नमक, फिर 'सर्वर प्रति अनूठा मूल्य' और उपयोगकर्ता नाम घटकों का उपयोग कम महत्वपूर्ण हैं)।
यादृच्छिक हिस्सा महत्वपूर्ण है यह भविष्यवाणी हमलों को रोकता है – Jacco
आप http: // stackoverflow जोड़ सकते हैं।कॉम/प्रश्न/1645161/नमक-पीढ़ी-और-खुले स्रोत-सॉफ्टवेयर/16451 9 0 # 16451 9 0 अपनी लेख सूची – Jacco
में भी जोड़ें http://dba.stackexchange.com/questions/7492/password-hashes-fixed-length- [dba.se] साइट – jcolebrand