Quelle est la durée optimale pour l'utilisateur, le mot de passe de sel?

Tout sel à tout va évidemment aider lors de l'épandage de sel et de hachage d'un mot de passe utilisateur. Existe-il des pratiques exemplaires pour combien de temps le sel devrait être? Je vais être le stockage du sel dans ma table user, donc je voudrais le meilleur compromis entre la taille de stockage et de sécurité. Aléatoire de 10 caractères assez de sel? Ou dois-je besoin de quelque chose de plus?

  • Je n'ai pas de recommandation sur la durée du sel, mais les réponses qui apparaissent ici ont beaucoup de mauvaises informations. Votre sel devrait certainement: - aléatoire - être par le secret (pas une seule valeur stockée dans votre programme de l'image ou du fichier de configuration). Le sel n'est pas un secret cryptographique, afin de le stocker dans votre tableau n'est pas un problème. Le seul but de sel est de s'assurer que lorsque les différentes instances d'un même élément sont hachées (ou crypté) que vous obtenez un résultat différent.
  • Pour ceux qui ne savent pas ce que le sel est: <a href="en.wikipedia.org/wiki/Salt_(cryptographie)">Sel (cryptographie)</a> sur Wikipedia
  • Ou si il y a un rapport optimum pour la longueur de sel à la longueur de hachage de sortie? 8 octets de sel peut être suffisant pour HMAC-SHA-256, mais peut ne pas HMAC-SHA-512.
  • Chiffrée de manière aléatoire le sel de la même taille que la sortie de la fonction de hachage signifie qu'un "essayer tous les sels possibles" (plus un dictionnaire de mots de passe) attaque nécessite plus d'efforts en tant que "essayer tous les possible de hachage résultats" attaque - qui est une norme de la force brute. Une courte sel signifie que vous pouvez avoir un sel dictionnaire plus un dictionnaire de mots de passe comme une attaque par force brute.
  • -1 Certes n'a pas de (tenter de) répondre à la question.
InformationsquelleAutor David | 2008-10-08
  1. 64

    La plupart de ces réponses sont un peu hors de propos et démontrer une confusion entre les sels et les clés de chiffrement. Le but de sels est de modifier la fonction de hachage utilisé pour chaque utilisateur, mot de passe, de sorte que chaque stockées hachage de mot de passe devra être attaqué individuellement. La seule exigence en matière de sécurité, c'est qu'ils sont unique par utilisateur, il n'y a aucun avantage à eux être imprévisibles ou difficiles à deviner.

    Sels seulement besoin d'être suffisamment longue pour que chaque utilisateur de sel sera unique. Aléatoire de 64 bits sels sont très peu susceptible de répéter, même avec un milliard d'utilisateurs enregistrés, donc cela devrait être bon. Un seul répété le sel est relativement mineure préoccupation de sécurité, elle permet à un attaquant de recherche de deux comptes à la fois mais dans l'ensemble, de ne pas accélérer la recherche de beaucoup sur l'ensemble de la base de données. Même 32 bits sels sont acceptables pour la plupart des fins, il sera dans le pire des cas la vitesse d'un attaquant de recherche d'environ 58%. Le coût de l'augmentation de sels au-delà de 64 bits n'est pas élevé, mais il n'y a pas de sécurité de raison de le faire.

    Il est intéressant également à l'aide d'un site à l'échelle de sel sur le dessus de chaque utilisateur de sel, cela permettra d'éviter d'éventuelles collisions avec des mots de passe stockés sur d'autres sites, et d'empêcher l'utilisation de tables arc-en-ciel, bien que même les 32 bits de sel est assez pour faire de "rainbow tables" irréaliste attaque.

    Encore plus simple-et développeurs de toujours oublier cette-si vous avez unique Id d'utilisateur ou de noms de connexion, ceux qui servent parfaitement bien dans un sel. Si vous faites cela, vous devez ajouter un site à l'échelle de sel pour vous assurer que vous n'avez pas de chevauchement avec les utilisateurs d'un autre système, qui a eu la même idée lumineuse.

    • Il y a un avantage en sels étant imprévisible. Prévisible de sel pourrait être prévu et utilisé dans une table de hachage attaque. Par exemple, si votre sel est juste le nom d'utilisateur, puis une plaine alpha table de hachage qui est assez long comprendra non seulement tous les mots de passe, mais tous les nom d'utilisateur + mot de passe combinaisons.
    • Remarque par rapport à votre dernier paragraphe, si vous utilisez un site à l'échelle de sel, qui devrait être exactement cela: à l'échelle du site. Pas au niveau de l'application, c'est à dire chaque nouvelle instance de l'installation de votre application doit générer un nouveau site à l'échelle de sel. Par exemple, si Windows utilise le même sel sur toutes les versions Windows de base de données d'authentification, alors il serait intéressant de créer un arc-en-ciel de la table pour que le sel, mais si chaque installation de Windows généré un nouveau sel, puis il ne le soit pas.
    • Le problème n'est pas vraiment que le sel doit être difficile à deviner. L'attaquant n'a pas besoin de deviner le sel: toute personne qui a accès à la valeur de hachage a déjà le sel. Le problème est que si votre sels sont très fréquents (comme des noms d'utilisateurs), ils pourraient être les mêmes que ceux des autres sites, et à ce moment, l'attaquant a besoin d'un beaucoup plus petit ensemble de rainbow tables pour faire des attaques possibles. C'est pourquoi le site par site sel idée est mentionné, pour éviter ce genre de collision avec d'autres sites.
    • Note rapide: Si vous utilisez des noms d'utilisateur comme le sel, ce qui peut être un problème si les noms d'utilisateur de changer. Pratiquement, (malgré ce qui est dit dans les documents de conception) j'ai trouvé que les utilisateurs souhaitent souvent de changer les noms d'utilisateur.
    • Le par site sel idée dont vous parlez s'appelle le poivre.
    InformationsquelleAutor SecurityJoe
  2. 34

    Actuellement les normes acceptées pour le hachage des mots de passe créer un nouveau 16 caractères de long de sel pour chaque mot de passe et de stocker le sel avec le hash du mot de passe.

    Bien sûr, une bonne cryptographiques de soins pour créer vraiment aléatoire de sel devraient être prises.

    InformationsquelleAutor David Schmitt
  3. 24

    Edit: Ma réponse ci-dessous les réponses à la question posée, mais la "vraie" réponse est: il suffit d'utiliser bcrypt, scrypt, ou Argon2. Si vous vous posez ce genre de questions, vous êtes presque certainement à l'aide d'outils à un niveau trop bas.

    Honnêtement, il n'y a pas défendable raison de ne pas le sel sera exactement la même longueur que le mot de passe haché. Si vous êtes à l'aide de l'algorithme SHA-256, alors vous avez un hachage 256 bits. Il n'y a aucune raison de ne pas utiliser un salt de 256 bits.

    Plus de 256 bits ne sera pas net, toute amélioration de la sécurité, mathématiquement. Mais aller avec une courte sel peut toujours se retrouver avec une situation où un arc-en-ciel de la table des captures de votre sel de la longueur, surtout avec des temps de sels.

    • Rappelez-vous que plus votre sel et l'algorithme de hachage, plus les performances de votre site prendra
    • Ce n'est pas que un gros problème; l'utilisateur remarque à peine la différence entre une milliseconde de hachage et d'une demi-seconde de hachage, plus hachage de mot de passe en fait doit prendre plus de temps pour ralentir les attaques par force brute, bien que typique en trois coups bloqués pendant 15 minutes, c'est mieux. Vous êtes "gaspiller" de cycles de PROCESSEUR pour ce faire? Ouais, c'est ça. La CPU passe plus de temps d'inactivité que pas sur la plupart des sites de toute façon, alors à quoi bon? Si vous rencontrez des problèmes de performances, d'échelle.
    • Qu'entendez-vous par "Plus de 256 bits ne sera pas net, toute amélioration de la sécurité". Ma conviction est que le sel défendu contre
    • Les sels de défendre contre les rainbow tables. Une de 512 bits sel avec un hachage 256 bits sera toujours seulement résultat en 256 bits d'entropie lors de la finale de mot de passe.
    • Lent de hachage est une fonction, pas un bug.
    • Je prie de différer. L'entropie n'est pas la question ici. Disons que nous avons un 3 bits de hachage, vous dites avoir 3-peu de sel sur 3 bits de hachage est aussi sécurisé que d'avoir un 9999-peu de sel sur 3 bits de hachage. Ceci est incorrect, un attaquant peut tout simplement faire un pré-générés ensemble des rainbow tables pour toutes les combinaisons de votre 3-peu de sel + 3 bits de hachage, la réalisation de O(1) temps nécessaire pour le crack de chaque ligne, même lorsque chaque secret avait son propre sel....
    • ...Cependant, si votre sel est de 9999 bits de long, il est peu probable qu'il existe déjà un pré-généré arc-en-ciel de la table pour que 9999-peu de sel. Donc le temps nécessaire pour le crack de chaque ligne doit prendre en O(m) où m est le coût de la réalisation d'une table de hachage.
    • Si vous avez un 3 bits de hachage, votre 9999-peu de sel sera toujours seulement de hachage en baisse de 3 bits d'entropie. Un arc-en-ciel de la table n'aurait qu'à trouver trois sels pour chaque mot de passe que suite à une sortie différente, qui est un facteur multiplicatif constant et donc supprimé à partir de la grande-O.
    • Pour clarifier, je n'ai pas de stocker une rainbow table avec 2 ^ 9 999 habitants sels. Seulement huit (trois bits de valeur) des entrées pour chaque mot de passe dans la table arc-en-ciel. Encore une fois, vous avez rien gagné.
    • si vous êtes sur un budget, vous ne devriez probablement pas stocker les informations d'identification à tous, regardez dans OpenID, Google ou Facebook login.
    • Notez également que la résolution de ces trois bits est exactement l'équivalent de brute-forcer l'ensemble de hachage espace de sortie.
    • Tout le monde est sur un budget, et OpenID a ses inconvénients: quora.com/OpenID/What-s-wrong-with-OpenID
    • J'aime la façon dont la connexion par défaut de l'option pour le lien que vous avez fourni est Facebook et Twitter connexion.
    • Facebook n'est pas OpenID btw.
    • Non, c'est une coutume de la saveur de l'authentification OAuth. Mais je suis sûr que j'ai écrit "regarde OpenID, Google ou Facebook login". OpenID n'est pas le seul jeu en ville.
    • si cela est vrai, la peine peut être tourné autour de, longue sels signifie plus de temps processeur à se fissurer.
    • Je suis sûr que j'ai écrit "Facebook n'est pas OpenID". Aussi, ne lire que lien.
    • Le 9999-peu de sel sera toujours seulement de hachage en baisse de 3 bits d'entropie, mais permettez-moi de répéter: l'entropie n'est pas la question ici. Il n'importe pas si vous pouvez vous connecter en tant qu'utilisateur de ce ................................. .....................................................................................
    • ...................................................................................... système particulier. La but de sels est d'arrêter de précalcul des attaques de sorte que les hachages ne peut pas être recherché et immédiatement annulées en texte brut . Avec un 9999-peu de sel, votre mot de passe reste un secret, alors qu'avec un 3-peu de sel, de votre mot de passe est maintenant connu dans le monde entier (et ils peuvent l'utiliser pour vous connecter à vos comptes depuis de nombreuses personnes souvent la réutilisation des mots de passe). Je trouve amusant que 5 des gens ici avaient fait upvoted votre commentaire en raison du mot "entropie" en elle.
    • Les sels ne sont pas considérées comme privées. Si votre table de hachage de mots de passe fuites, puis presque certainement votre sels de voirie ont fui ainsi.

    InformationsquelleAutor Stephen Touset
  4. 7

    Wikipédia:

    La SHA2-crypt et bcrypt méthodes utilisées dans Linux, BSD, Unix, et
    Solaris—ont sels de 128 bits. Ces grandes valeurs du sel faire
    précalcul des attaques pendant presque toute la longueur de mot de passe impossible
    à l'encontre de ces systèmes pour l'avenir prévisible.

    De 128 bits (16 octets) de sel sera suffisant. Vous pouvez vous le représenter comme une séquence de 128 /4 = 32 chiffres hexadécimaux.

    • Il me semble qu'un exemple de ce que d'autres systèmes sécurisés utilisation est un excellent exemple de ce que la meilleure pratique est.
    • Merci, j'ai mis à jour la réponse.
    InformationsquelleAutor Andrii Nemchenko
  5. 2

    Une réponse pourrait être d'utiliser que la taille du sel de la valeur de hachage que vous allez utiliser, fournit en terme de sécurité.

    E. g. Si vous allez utiliser SHA-512 utiliser 256 bits de sel, car la sécurité fournie par l'algorithme SHA-512 est de 256 bits.

    InformationsquelleAutor Roberto Martelloni