Хэширование. Соль

@Prizrak067 · Регистрация: 18.07.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте. Внесите мне, пожалуйста, ясность... Хэшировать пароль в целях безопасности - хорошо, а "солить" хэш - еще лучше. В инете об этом куча однотипной информацией с немалым количеством воды. Но понятно, что с солью лучше. А чем мудрёнее соль, тем еще лучше. Более того, известные, даже не просвященным, MD5 и SHA алгоритмы устарели и их лучше не использовать. В PHP есть распространенная функция хэширования:

PHP
1
crypt ( string $str [, string $salt ] ) : string

в документации https://www.php.net/manual/ru/function.crypt.php указаны алгоритмы шифрования, CRYPT_STD_DES, CRYPT_BLOWFISH и т. д. эти алгоритмы "срабатывают" в зависимости от созданной соли, а вернее от её префикса и длины.
Итак.. Соль создана. Хэш получается, например, 60 символов, если выбран CRYPT_BLOWFISH, кажется, всё круто. Но в хэше хранится, в самом начале, и алгоритм и сама СОЛЬ.... Все танцы с хэшем для того, что если украдут базу паролей, то не узнают исходный пароль, придется только подбирать пароли и каждый хэшировать, а используя соль будет типа в разы сложнее подобрать пароль. Но если соль видна, то можно замутить брут с этой солью! Я прав же? Также, как и брут к БД без соли (не используя соль).

@wwowa · 23.04.2020, 08:11

Зачем вы полезли так глубоко копать?

Они эту функцию совершенствуют с момента ее создания. Все замки существуют от честных людей. Вот последнее замечание из справки к аналогичной password_hash()

Предостережение
Настоятельно рекомендуется использовать автоматическую генерацию соли. Данная функция самостоятельно создаст хорошую соль, если вы не будете ей мешать подсовывая свою.
Как было замечено выше, опция salt была объявлена устаревшей в PHP 7.0 и будет вызывать соответствующее предупреждение. Поддержка ручного задания соли может быть удалена в более новых версиях.

Вряд ли кто то будет подбирать хешированные пароли. Есть более быстрые способы получения паролей и взлома. К примеру 50% паролей окажутся "qwerty" и "12345"

кмк

@vinikon · 23.04.2020, 11:03

очень часто этот вопрос встречается.

Сообщение от Prizrak067

если украдут базу паролей, то не узнают исходный пароль

если украли базу паролей, то почему не смогут украсть и базу соли для них. тут принцип совсем в другом. представьте пароль из одного символа. трудно ли к нему подобрать пароль? проще простого. из двух тоже легко , но уже посложнее. для современных мощных компьютеров не составляет труда подобрать значение простым перебором даже для 8 -значных паролей. для более длинных паролей существуют радужные таблицы. динамическая соль существует для того, чтобы скрывать одинаковые пароли и затормозить использование радужных таблиц - она увеличивает длину пароля и делает его уникальным.
без соли можно просто использовать уже готовые радужные таблицы.
статическая соль требует сначала сформировать радужную таблицу и на ее основе можно взламывать всех пользователей.
динамическая соль требует отдельно взламывать каждого пользователя не зависимо от другого.
кроме того, современные алгоритмы криптографии для замедления подбора значений используют шифрование в цикле - 8-12 и более циклов шифрования.
вот здесь более наглядно объясняется
да, и прав wwowa, от всего этого нет толку, если будут пароли типа

Сообщение от wwowa

"qwerty" и "12345"

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

Опции темы