Possible Duplicates:
hash(hash()) vs salted hash
Many hash iterations: append salt every time?
Yeni bir cevap okurken ben this juicy blog post yaklaşık şifre karma geldi ve ben zaten tekniklerin en orada açıkladı aşina olmasına rağmen, bazı şüpheler kafamda attı - Bunların en uygun ([{olduğunu 1)]}
Örneğin, biz dize alırsak "password
" ve SHA-1 hashing 1000 yineleme biz "{[gelen" 862e52b42b26c0f7e2b6ef5f635226bf0fd3f7fb
"bizim nihai karma olarak, çok farklı ile sona uygulamak (2)]} "biz sadece bir kez karma eğer. Bu tekrarlamalar da tuzlama ortalama olarak sayılmaz? İkinci tekrarlamalar anda biz zaten bir saldırgan biz (similarly an attacker could also guess our secret salt) kullanılan kaç tekrarlamalar emin biliyorum veya tüm {[(4 gökkuşağı tablosu oluşturmak için ya vardır demektir 40 karakter uzun bir dize, karma edilir )]} kombinasyonları (16^40
).
Tuzlama ilgili ek sorular:
- Eğer statik veya dinamik tuzları (Nonce'lar) kullanıyor musunuz? Ve neden?
- Eğer Nonce'lar kullanırsanız, onları nasıl büyük yapabilirim ve bunları (önek, kolon, ...) nerede saklamak?
Ben statik (uzun) tuzlama üzerinde Nonce'lar kullanmanın yararı anlıyorum, ama bir saldırganın (Ben onlar bir karma çarpışma bulmanın daha büyük olasılıkla olduğunu düşünüyorum başarılı bir kaba kuvvet maçı koparmak için gerekli çaba nerede ben herhangi bir senaryo hayal edemiyorum daha önce). Biz Nonce'lar kullanarak karma Ayrıca eğer biz iki veritabanı sorgularını yerine birini (biz karma hesaplamak böylece seferlik kapmak için bir ve bunu kontrol etmek için başka bir) vermek gerekir. Tek başına germe "güvenli" kabul edilmez neden dürüstçe, ben anlayamıyorum.
Ayrıca, neden SHA> 1 uygulamalarını benimseyen pek çok insan vardır? SHA-1 hala güvenli değil mi? Haber uygulamaları hassas verileri hash mevcut yeni SHS uygulaması kullanmalı mıyım? "Eski" uygulamaları hala daha yeni bir uygulama için kendi sağlamalarının göç MD5 / SHA-1 ihtiyaç kullanarak ne olur?