Jquery SHA512.jsを使用して暗号化を送信し、ユーザー名とパスワードをサーバーに送信しています。 サーバーでは、ハッシュを格納したDBを作成するために次の作業を行っています。SHA暗号化 - 塩は本当に必要ですか?
$ dbhash = = hash( 'sha256'、(hash '' sha512 '、$ user).hash(' sha256 '、$ extremesalt ))));
これはすべて問題なく動作します。
私の質問は、塩の価値は何ですか? Saltがパスワードに適用された時点で、パスワードは既にサーバーにあり、インターネット経由では転送されません。また、Saltはパスワードハッシュの隣に格納されます。
したがって、誰かがハッシュのテーブルを取得する必要があり、そうした場合は、塩分とコードの残りの部分を取得し、私のサイトで一般的にしたいことをすることができます。
私は塩を塗るのが良いと分かりますが、私はそれを行いますが、それはサーバー上でのみ起こり、ブラウザーからサーバーには起こらないので、私はその価値に疑問を抱いています。何か不足していますか?
もう1つの質問 - ブラウザからサーバーに塩を適用することは可能ですか?私は想定していないか、少なくともソースがチェックされていれば見えます(例:jqueryに表示された私の原因)。したがって、真価はありません。
THX
私は最初の段落の答えを+1します。第2段落は将来間違っているかもしれません。 Marc B.への私のコメントを参照してください。 –
@Marc、そうですね、実際にその論文を数週間前に読んだのですが、かなり面白いです。ハッシュをハッシュする方法はありますが、その効果はありますが、実際に元の文字列を見つけるほうが簡単です。私はこれをどこかに示した別の論文を持っていましたが、私は今それを見つけることができません。 –