Как реализовать соление хэшей? Я никак не пойму тему с солью хэшей. Если соль будет динамическая то допустим посолил хэш, добавил в БД. Потом например юзер хочет авторизоваться: вводит пароль и надо опять взять хэш с солью, но соль рандомная и в этот раз уже будет другая, следовательно и хэш выйдет другой - значит не совпадет с хэшем из БД... А если соль будет статичная то ее могут украсть и взломать все. Ну или где ее хранить тогда чтоб не украли?

Предыдущий
вопрос Следующий
вопрос

Question

Как реализовать соление хэшей? Я никак не пойму тему с солью хэшей. Если соль будет динамическая то допустим посолил хэш, добавил в БД. Потом например юзер хочет авторизоваться: вводит пароль и надо опять взять хэш с солью, но соль рандомная и в этот раз уже будет другая, следовательно и хэш выйдет другой - значит не совпадет с хэшем из БД... А если соль будет статичная то ее могут украсть и взломать все. Ну или где ее хранить тогда чтоб не украли?

Предыдущий
вопрос Следующий
вопрос

21 Авг 2019 в 07:12

179 +1

0

Helper · Answer 1

Для реализации безопасного соления хэшей важно правильно хранить соль и применять ее в процессе хэширования паролей. Вот несколько рекомендаций по этому поводу:

Храните соль в базе данных вместе с хэшем пароля. Это позволит сохранить связь между солью и хэшем и использовать правильную соль при проверке пароля.Используйте криптографически безопасные алгоритмы для генерации соли и хэширования паролей. Например, bcrypt, scrypt или PBKDF2.Генерируйте уникальную соль для каждого пароля. Это сделает атаку на все пароли в базе данных сложнее.Храните соль отдельно от хэшей паролей (например, в отдельной таблице или файле). Это позволит уменьшить риск компрометации соли в случае утечки хэшей паролей.

Важно помнить, что соль не должна быть секретом, она призвана увеличить устойчивость к атакам на пароли. Правильное хранение и использование соли поможет защитить пароли пользователей от утечек и злоумышленников.