एक हमलावर "अनुमति" . है नमक जानने के लिए - आपकी सुरक्षा को इस तरह से डिज़ाइन किया जाना चाहिए कि नमक के ज्ञान के बावजूद भी यह सुरक्षित रहे।
नमक क्या करता है?
नमक पूर्व-गणना "इंद्रधनुष-तालिकाओं" का उपयोग करके जानवर-बल के हमलों से बचाव में सहायता करता है।
नमक हमलावर के लिए जानवर-बल को और अधिक महंगा (समय/स्मृति के संदर्भ में) बनाता है।
ऐसी तालिका की गणना करना महंगा है और आमतौर पर केवल तभी किया जाता है जब इसका उपयोग एक से अधिक हमले/पासवर्ड के लिए किया जा सकता है।
यदि आप सभी पासवर्ड के लिए एक ही नमक का उपयोग करते हैं तो एक हमलावर ऐसी तालिका की पूर्व-गणना कर सकता है और फिर आपके पासवर्ड को स्पष्ट टेक्स्ट में डाल सकता है। ...
जब तक आप हर पासवर्ड के लिए एक नया (सर्वश्रेष्ठ क्रिप्टोग्राफ़िक रूप से मजबूत) यादृच्छिक नमक उत्पन्न करते हैं, जिसे आप हैश स्टोर करना चाहते हैं, कोई समस्या नहीं है।
यदि आप सुरक्षा को और मजबूत करना चाहते हैं
आप कई बार हैश की गणना कर सकते हैं (हैश हैश आदि) - यह आपको अधिक खर्च नहीं करता है लेकिन यह एक क्रूर-बल के हमले / "इंद्रधनुष-तालिकाओं" की गणना को और भी महंगा बनाता है ... कृपया डॉन स्वयं का आविष्कार न करें - ऐसा करने के लिए सिद्ध मानक विधियां हैं, उदाहरण के लिए देखें http://en। wikipedia.org/wiki/PBKDF2
और http://www.itnewb.com/tutorial/Encrypting-Passwords-with-PHP-for-Storage-Using-the-RSA-PBKDF2-Standard
नोट:
ऐसे तंत्र का उपयोग इन दिनों अनिवार्य है चूंकि "सीपीयू टाइम" (इंद्रधनुष टेबल/ब्रूट फोर्स इत्यादि जैसे हमलों के लिए प्रयोग योग्य) अधिक से अधिक व्यापक रूप से उपलब्ध हो रहा है (उदाहरण के लिए तथ्य यह है कि अमेज़ॅन की क्लाउड सेवा दुनिया भर में सबसे तेज़ सुपरकम्यूटर के शीर्ष 50 में से एक है और इसका उपयोग किसी के द्वारा किया जा सकता है अपेक्षाकृत कम राशि के लिए)!
