我正在使用Jquery SHA512.js發送加密併發送用戶名和密碼到服務器。 在服務器上,我正在執行以下操作來創建我的DB存儲的HASH:SHA加密 - 是否真的需要鹽?
$ dbhash = = hash('sha256',(hash('sha512',$ user).hash('sha256',$ extremesalt )));
這一切工作正常。
我的問題是鹽的價值是什麼? 在Salt應用於密碼的時候,密碼已經在服務器上,而不是在Internet上傳輸。 Salt也存儲在密碼哈希旁邊。
因此它似乎有人需要得到我的哈希的表,如果他們這麼做,他們也可以得到鹽和我的代碼的休息和做他們想要與我在一般的網站是什麼。
我可以看到其良好的應用鹽和我會做,但它僅發生在服務器上,而不是從瀏覽器向服務器我懷疑它的價值。我錯過了什麼嗎?
另外一個問題 - 是它可以從瀏覽器向服務器申請鹽。我假設沒有,或者至少如果你這樣做了,如果有人檢查了源代碼(例如:在我的原因在jquery中可見),將是可見的。因此沒有真正的價值。
THX
我+1你的答案爲第一段。第二段可能在未來是錯誤的。看到我的評論馬克B. –
@馬克,是的,我真的讀了幾個星期後,這個文件相當有趣。儘管有散列哈希的技術,但它具有這種效果,可以更容易地找到原始字符串。我有另一篇文章顯示這個地方,但我現在似乎無法找到它。 –