SORU
10 Kasım 2008, PAZARTESİ


Bcrypt ile tuz deposu gerek var mı?

bCrypt's javadoc parolayı şifrelemek için bu kodu vardır:

String pw_hash = BCrypt.hashpw(plain_password, BCrypt.gensalt());

Düz metin bir şifre daha önce karma bir eşleşip eşleşmediğini kontrol etmek için, checkpw yöntemi kullanın:

if (BCrypt.checkpw(candidate_password, stored_hash))
    System.out.println("It matches");
else
    System.out.println("It does not match");

Bu kod parçacıkları rastgele tuz atılır olduğunu bana ima. Bu durumda, ya da bu sadece yanıltıcı bir kod parçası mı?

CEVAP
10 Kasım 2008, PAZARTESİ


Tuzu karma (base64 tarzı bir formatta kodlanmış) içine dahil edilmiştir.

Geleneksel Unıx parolaları örneğin, tuz şifre ilk iki karakteri olarak saklanır. Kalan karakterler karma değeri temsil etti. Denetimi fonksiyonu bunu biliyor ve karma tuzu geri almak için ayrı çeker.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • BruBearBaby

    BruBearBaby

    25 Ocak 2011
  • Justin Davis

    Justin Davis

    14 Ocak 2008
  • tunez4you

    tunez4you

    20 EKİM 2008