$鹽 - 足夠的長度的僞隨機生成的字符串
$胡椒 - 足夠強的私鑰,只知道在密碼短語被存儲在DB的管理員
你會看到
$哈希= bcrypt(HMAC($ userpassphrase,$辣椒),$鹽)
是有意義優於
$ hash = bcrypt($ userpassphrase,$ salt)
給予管理/存儲$ pepper以及$ salt的額外負擔嗎?
我的假設是,hmac並沒有有意義地加強所得到的$ hash,並且存儲$ pepper的負擔超過了任何假設的好處......但我很想聽到知情的意見。
你是什麼意思的「私人密碼」?誰有權訪問它?你如何/在哪裏得到它? – Kaito
對不起,如果不清楚 - hmac的私鑰。我將編輯以上澄清,謝謝! –