buonasera, non mi è chiara una cosa su come usare un Salt per le password.
Ho uno script di login: nel dbmemorizzo solo l'hash md5 della pwd scelta dall'utente con in più un salt che decido io.
Ma questo Salt, deve stare in chiaro nel codice (magari in DEFINE()) oppure deve essere memorizzato amch'esso nel db?
Se usi sempre lo stesso salt, lo puoi definire anche nel codice, però in genere è meglio usare per ogni utente un altro salt, quindi poi lo devi salvare con i dati dell'utente.
www.sitemeer.com » Quando un sito pare irraggiungibile
Se ti piace ci puoi trovare anche su Facebook
diciamo che posso anche usare lo stesso salt, ma mi chiedo se questo poi sia visibile in chiaro nel codice diventa poi inutile usarlo nella pwd.
Il salt non deve essere segretissimo, perché serve principalmente per evitare che uno possa usare delle tabelle rainbow, già precalcolate con i hash.
www.sitemeer.com » Quando un sito pare irraggiungibile
Se ti piace ci puoi trovare anche su Facebook
su questo non ci piove, ma conoscendo il salt il lavoro sugli hash diventa molto più "semplice"
Più sì, molto direi di no, perché ci sarebbe ancora nonostante bisogno di calcolare la tabella rainbow considerando il salt. La cosa più sicura sarebbe usare un unico per ogni utente.
www.sitemeer.com » Quando un sito pare irraggiungibile
Se ti piace ci puoi trovare anche su Facebook
se ne memorizzo uno e solo uno per tutti gli utenti nel db, però, credo che debba essere equiparato ad una sorta di password, per cui dovrei memorizzarlo sotto forma di hash md5.. non credi?
No, il salt serve solo per cambiare il valore del hash, che non sia quello standard.
www.sitemeer.com » Quando un sito pare irraggiungibile
Se ti piace ci puoi trovare anche su Facebook
Permessi di invio
Rispondi quotando