1
我正在製作一個用戶數據庫,我在考慮安全問題,它讓我想到了,當我要爲每個人提供獨特的用戶鹽時,是否真的值得擁有一個網站鹽。全球網站鹽,它值得嗎?
md5(GLOBAL_SALT . $password . $user_salt);
VS
md5($password . $user_salt);
我的想法是,如果該網站是得到破解黑客將有機會獲得全球鹽反正。
我正在製作一個用戶數據庫,我在考慮安全問題,它讓我想到了,當我要爲每個人提供獨特的用戶鹽時,是否真的值得擁有一個網站鹽。全球網站鹽,它值得嗎?
md5(GLOBAL_SALT . $password . $user_salt);
VS
md5($password . $user_salt);
我的想法是,如果該網站是得到破解黑客將有機會獲得全球鹽反正。
你在說什麼也叫做胡椒粉。鹽和胡椒有不同的目的:
它實際上取決於攻擊者是否擁有對服務器的控制權,或者只有對數據庫的訪問權限(SQL注入),如果胡椒是有用的。我最近寫了一篇關於hashing passwords的教程,我試圖解釋重要的一點。
還有其他的事情要考慮,比如MD5對於密碼散列來說太快了,而應該使用一個密鑰派生函數,如BCrypt。