Hepsi salt herhangi bir kullanıcının parolasını tuzlama karma aldığında kesinlikle yardımcı olacaktır. Tuz nasıl olması gerektiği için herhangi bir iyi yöntemler var mı? Depolama boyutu ve güvenlik arasında iyi bir değiş tokuş istiyorum yani benim kullanıcı tabloda tuz depolama, olacağım. 10 karakter rastgele bir tuz yeterli mi? Ya da daha uzun bir şeye ihtiyacım var mı?

Bu cevaplar çoğu biraz sapıklık ve tuzları ve şifreleme anahtarları arasında bir karışıklık göstermek. Tuzları da dahil olmak üzere amaç fonksiyonu her saklanan parola hash ayrı ayrı saldırıya olacak, böylece her bir kullanıcının parola karma için kullanılan düzeltmektir. Sadece güvenlik gereği kullanıcı, ya da tahmin öngörülemeyen zor olmalarında fayda var tek başına olmasıdır.

Tuzu sadece tuz, her kullanıcının benzersiz olacak, böylece yeterince uzun olması gerekir. Rastgele 64-bit tuzları bu iyi olmalı, bu yüzden hiç bir milyardan fazla üye ile tekrar, çok düşüktür. Bir tek tuz tekrarlanan bir saldırganın iki hesabı aynı anda arama yapmanızı sağlar ama toplu arama çok, tüm veritabanı hızlandırmak olmayacak nispeten küçük bir güvenlik sorunu vardır. 32-bit tuzları çoğu amaç için kabul edilebilir olsa bile, yüzde 58 ile en kötü durumda, bir saldırganın arama hızı. 64 bit ötesinde artan tuzlar maliyeti yüksek değil ama bunu yapmak için güvenlik nedeni yok.

Orada bazı yararına da kullanarak bir site çapında tuz üstüne bir kullanıcı başına tuz, bu-ecek önlemek Olası çakışmaları ile şifre sağlamalarının saklanan diğer siteler ve önleme genel kullanım amaçlı gökkuşağı tabloları, olsa bile 32 bit tuz için yeterli gökkuşağı tabloları pratik bir saldırı.

Daha basit-ve geliştiriciler her zaman bu-eğer benzersiz bir kullanıcı Kimliği veya kullanıcı adı var bakan, bu salt olarak gayet iyi hizmet. Eğer bunu yaparsanız, site çapında bir tuz aynı süper fikri ile başka bir sistem kullanıcıları üst üste etmemelerini sağlamak için eklemek gerekir.