將密碼鹽與密碼哈希分開存儲？

Question

可能重複：
what is best possible way of salting and storing salt?
Improve password hashing with a random salt

假設使用密碼哈希正確的算法生成每個密碼不同的鹽......

它是一個安全存儲鹽與密碼哈希分開的風險？例如。在數據庫表中，將密碼哈希存儲在一列中，並將密碼鹽存儲在單獨的列中？

我看到了使用特定算法將salt嵌入密碼哈希本身的策略。稍後可以從密碼哈希中提取salt。這更安全嗎？

Answer 1

從我讀過的所有內容中，將密碼哈希和密碼鹽存儲在不同的列中並沒有什麼錯，這是最常見的方法。

進行身份驗證的基本方法應該是這樣的：

1. 檢索USER_ID和使用用戶提供的用戶名或電子郵件password_salt
用提取鹽
2. 使用散列算法相結合
3. 的毗連用戶提供的密碼輸入字符串
4. 檢查所創建的哈希與數據庫中的哈希對應