Qu'est-ce que le “sel” lorsque relatives à MYSQL sha1?
Qu'est-ce que le "sel" lorsque relatives à MYSQL sha1? Je n'ai aucune idée de ce que le sel est dans le domaine des sha1 mot de passe de cryptage? Quelqu'un peut-il expliquer ce que c'est?
Un sel est une valeur qui est ajoutée à un mot de passe (ou d'autres secrets) qui vous voulez de hachage à sens unique. Cela signifie qu'il pourrait être, avant, après, ou quelque part à l'intérieur du mot de passe, aussi longtemps que sa position et sa valeur est constante pour un mot de passe fourni.
Ce que ce n'est elle réduit les attaques de dictionnaire - essentiellement des dictionnaires de mots de passe communs de pré-hachage sans sel - être utilisé pour "deviner" un mot de passe tant que l'attaquant ne connaît pas la valeur de hachage. Si chaque mot de passe est différent de hachage, alors il est très difficile pour un attaquant de créer un dictionnaire optimisé pour le craquage des mots de passe (ils auraient besoin d'un dictionnaire pour chaque de sel et ils auraient également besoin de savoir où le sel a été placé dans chaque mot de passe).
Bien sûr, pour tout cela, pour être applicable, l'attaquant doit avoir les valeurs de hachage de mots de passe, en premier lieu. Cela n'a rien à voir avec l'attaquant en devinant les mots de passe, en utilisant des entrées de commandes.
Concernant MySQL spécifiquement si vous fournissez un sel quand le hachage d'un mot de passe, assurez-vous d'enregistrer ce que le sel était quelque part. Ensuite, lorsqu'un utilisateur tente d'authentification vous combinez qui a enregistré le sel de la valeur avec le mot de passe (lors de l'appel à crypt par exemple) et si le hachage correspond alors ils ont entré le bon mot de passe. (Notez qu'à aucun moment, le hachage d'un mot de passe inversée; donc une manière.)
sel n'est rien mais une chaîne de caractères que vous attachez au mot de passe, soit comme une constante ou par l'intermédiaire d'un algorithme de
qui rend plus difficile pour quelqu'un qui a manqué à votre sécurité et accéder à votre mot de passe stocké, ce qui en retour rend à peu près impossible pour lui d'utiliser des arc-en-ciel dictionnaires pour déverrouiller ce que le mot de passe réel est, dans un hacker point de vue peut être utile car beaucoup de gens utilisent le même mot de passe dans beaucoup de différentes sites
$salt ="this is a salt";$password ='this is an password';$hash = sha1($salt.$password);
C'est comment vous avez pu le sel d'un mot de passe
Ce type de chaîne de caractères? @Noah: "0e7eb" Incorrecte; vous ne pouvez pas extraire à partir de la table de hachage. Il est stocké séparément, ainsi que l'algorithme utilisé et de la résultante de hachage. un sel doit toujours être aléatoire. si vous utilisez une constante, c'est une clé à la place de sel. Pas nécessairement aléatoire, tout simplement pas constante. 🙂
Un sel est ajouté le texte en clair (ou vice versa) avant le hachage afin de faire de dictionnaire des recherches plus cher.
Pourriez-vous me donner un exemple? +1 - droit. Par exemple, cela signifie qu'un attaquant qui a accès à tout un tas de mots de passe hachés ne pouvez pas simplement le hachage SHA1 un dictionnaire à la fois et de le comparer tous les mots de passe en vrac; à cause du sel, le hachage doit être refaite (avec un bon sel) pour chaque mot de passe.
Un sel est une valeur qui est ajoutée à un mot de passe (ou d'autres secrets) qui vous voulez de hachage à sens unique. Cela signifie qu'il pourrait être, avant, après, ou quelque part à l'intérieur du mot de passe, aussi longtemps que sa position et sa valeur est constante pour un mot de passe fourni.
Ce que ce n'est elle réduit les attaques de dictionnaire - essentiellement des dictionnaires de mots de passe communs de pré-hachage sans sel - être utilisé pour "deviner" un mot de passe tant que l'attaquant ne connaît pas la valeur de hachage. Si chaque mot de passe est différent de hachage, alors il est très difficile pour un attaquant de créer un dictionnaire optimisé pour le craquage des mots de passe (ils auraient besoin d'un dictionnaire pour chaque de sel et ils auraient également besoin de savoir où le sel a été placé dans chaque mot de passe).
Bien sûr, pour tout cela, pour être applicable, l'attaquant doit avoir les valeurs de hachage de mots de passe, en premier lieu. Cela n'a rien à voir avec l'attaquant en devinant les mots de passe, en utilisant des entrées de commandes.
Concernant MySQL spécifiquement si vous fournissez un sel quand le hachage d'un mot de passe, assurez-vous d'enregistrer ce que le sel était quelque part. Ensuite, lorsqu'un utilisateur tente d'authentification vous combinez qui a enregistré le sel de la valeur avec le mot de passe (lors de l'appel à
crypt
par exemple) et si le hachage correspond alors ils ont entré le bon mot de passe. (Notez qu'à aucun moment, le hachage d'un mot de passe inversée; donc une manière.)OriginalL'auteur cfeduke
sel n'est rien mais une chaîne de caractères que vous attachez au mot de passe, soit comme une constante ou par l'intermédiaire d'un algorithme de
qui rend plus difficile pour quelqu'un qui a manqué à votre sécurité et accéder à votre mot de passe stocké, ce qui en retour rend à peu près impossible pour lui d'utiliser des arc-en-ciel dictionnaires pour déverrouiller ce que le mot de passe réel est, dans un hacker point de vue peut être utile car beaucoup de gens utilisent le même mot de passe dans beaucoup de différentes sites
C'est comment vous avez pu le sel d'un mot de passe
@Noah: "0e7eb"
Incorrecte; vous ne pouvez pas extraire à partir de la table de hachage. Il est stocké séparément, ainsi que l'algorithme utilisé et de la résultante de hachage.
un sel doit toujours être aléatoire. si vous utilisez une constante, c'est une clé à la place de sel.
Pas nécessairement aléatoire, tout simplement pas constante. 🙂
OriginalL'auteur Breezer
Un sel est ajouté le texte en clair (ou vice versa) avant le hachage afin de faire de dictionnaire des recherches plus cher.
+1 - droit. Par exemple, cela signifie qu'un attaquant qui a accès à tout un tas de mots de passe hachés ne pouvez pas simplement le hachage SHA1 un dictionnaire à la fois et de le comparer tous les mots de passe en vrac; à cause du sel, le hachage doit être refaite (avec un bon sel) pour chaque mot de passe.
OriginalL'auteur Ignacio Vazquez-Abrams