安全 – 盐生成和开源软件 - 代码日志

安全 – 盐生成和开源软件

根据我的理解,生成盐的最佳实践是使用存储在源代码中的一些隐秘公式(或甚至魔术常量)。

我正在开发一个项目,我们计划发布作为开源,但问题是,与来源是秘密公式生成盐,因此在我们的网站上运行彩虹表攻击的能力。

我认为很多人都在我面前考虑过这个问题,我想知道最好的做法是什么。在我看来,如果代码是开源的,没有任何一点盐,因为盐可以容易地反向工程。

想法?

真正的盐只需要对于每个条目是唯一的。即使攻击者可以计算盐是什么,它使得彩虹表极难创建。这是因为盐在被哈希之前被添加到密码,所以它有效地添加到彩虹表必须包含的条目的总数以具有密码字段的所有可能值的列表。
http://stackoverflow.com/questions/1645161/salt-generation-and-open-source-software

本站文章除注明转载外,均为本站原创或编译
转载请明显位置注明出处:安全 – 盐生成和开源软件