2
私は、暗号アルゴリズムを使用してその文字列を保存することで、分単位でパスワードをデータベースに格納しています。scryptを使用してハッシュされたパスワードをSaltにする必要がありますか?
次に、パスワードのチェックを行い、提供されたパスワードをハッシュしてチェックしています。
私の質問は、それ以上のセキュリティを追加したいのですか?私も暗号化された文字列を塩漬けする必要がありますか?
私は、暗号アルゴリズムを使用してその文字列を保存することで、分単位でパスワードをデータベースに格納しています。scryptを使用してハッシュされたパスワードをSaltにする必要がありますか?
次に、パスワードのチェックを行い、提供されたパスワードをハッシュしてチェックしています。
私の質問は、それ以上のセキュリティを追加したいのですか?私も暗号化された文字列を塩漬けする必要がありますか?
いいえ、scrypt
には、すでに虹の攻撃を防ぐためのハッシュ処理の塩が含まれています。追加の塩を使用しても、セキュリティ上の利点はありません。 追加の修正を行うと、コードが複雑になり、システムが脆弱になります。
私は詳細を提供する必要があると思います。 *暗号化された文字列*をソルトすることはどういう意味ですか? - scryptはハッシュを暗号化せず、その実装は使用するたびに塩を提供する必要があります。 –
どの言語と実装を使用していますか? – zaph
ねえ!言語はJavaで、私はこの実装を使用しています: https://github.com/wg/scrypt – MickeyThreeSheds