Puncte:0

Utilizați ardei cu Bcrypt (HMAC + Bcrypt)

drapel in

Este util să combinați HMAC cu Bcrypt?
Dacă da, ar trebui să fac HMAC pe parolă înainte de a o „cripta”? sau ar trebui să fac HMAC pe ieșirea Bcrypt?

drapel zw
În loc să faci asta singur, folosește argon2 care are un parametru explicit pentru asta.
Puncte:1
drapel si

Scopul unui piper este de a proteja parolele în cazul în care o bază de date de hash-uri de parole este compromisă, dar alte părți ale sistemului de autentificare nu sunt compromise.

Ieșirea funcțiilor de hashing a parolei conține parametrii lor de intrare, sare și digest, astfel încât obturarea acesteia iremediabil prin HMAC ar face imposibilă verificarea parolei unui utilizator. Stocarea ieșirii hash a parolei în text simplu lângă ieșirea HMACed „piperată” ar pierde valoarea „nepiperată”. Prin urmare, aplicați ardeiul pe intrare.

Nimic nu diferă de la hash la hash, este același lucru pentru bcrypt ca și pentru PBKDF2 sau Argon2 sau Pufferfish2 sau orice altă funcție de hashing a parolei...

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.