Citat:
Originally posted by Brazzan@Mar 14 2008, 11:38
Det beror på hur "galen" man är när det gäller säkerhet. Det är inte komplicerat att separera och det behöver inte Att spara saltet tillsammans med lösenordet är som du säger en lösning som räcker långt, men jag förstår fortfarande inte varför man ens ska chansa när det inte är svårt att fixa en separat lösning. Det är det som jag blir lite irriterad över... även om det bara ger en 1% ökning av säkerhet, så är det ju positivt med tanke på att det tar 10min att separera saltet från lösenordet.
|
Har man många users kan det påverka serverprestandan.
-en extra query för varje inloggning
-en extra query för varje registrering
-en extra query för varje borttagning
-en extra tabell som tar plats i cacheminnet på sqlservern
-en extra tabell att ta backup på
Enda gången som en separat salt-tabell kan hjälpa till är väl vid databasdumpning via sql-injections?
Isåfall är det nog bättre att lägga tid på att skydda sig mot SQL-injections.
Om en hacker har rootat servern spelar det ingen roll om salten ligger i en separat tabell.
Visst går det att separera saltet, frågan är bara om det är värt det?