Citat:
Originally posted by Robert@Jan 24 2005, 13:30
. Förstod inte riktigt meningen med att se saltet ibörjan av av hashen?
|
Meningen att kunna se saltet är ju att du inte kan verifiera lösenordet utan ditt salt. Om du hashar ditt lösenord får du en obegriplig sträng. På något sätt måste du kunna få samma obegripliga sträng för att kunna verifiera och godkänna din användare. Antigen använder du "samma" salt till alla användare och då måste du hålla det hemligt. Annars är det onödigt.
Eller så lagrar du saltet för användaren en en separat tabell/databas.
Eller så som crypt gör, lagrar du saltet i det krypterade strängen som två första bokstäver.
Hur du en vrider och vänder på det hela, hjälper inte saltet mycket att få ett bra lösenord.
För att: Användarna ska inte komma åt sina krypterade lösenord (iallafall inte på reguljärbasis). Gör dem det så kan man anta att de kan på samma sätt komma åt saltet också.
Därför är det tämligen meningslöst att hålla saltet hemligare än självaste krypterade lösenordet.
/Zoran