기존 암호 해시에 소금을 어떻게 추가 하시겠습니까?

Question

해시되기 전에 소금을 추가하지 않은 해시 암호 데이터베이스가 있습니다. 새 암호에 소금을 추가하고 싶습니다. 분명히 나는 ​​기존의 것들을 다시 해쉬 할 수 없다.

어떻게 새로운 해시 시스템으로 마이그레이션하겠습니까?

Answer 1

물론 가능합니다. 기존 해시에 소금을 추가하고 다시 해시하면됩니다. 물론 이것은 미래의 로그인이 동일한 프로세스를 거쳐야한다는 것을 의미합니다. 두 개의 해시 함수가 호출되어야하지만 합법적 인 패턴이 많아서 어쨌든이 작업을 수행하므로 생각만큼 나쁜 냄새가 나지 않습니다.

비밀번호를 소금에 담는 것은 무지개 표를 방어하기위한 것입니다. 이 경우 소금은 비밀 일 필요는 없습니다.

http://en.wikipedia.org/wiki/Rainbow_tables#Defense_against_rainbow_tables

당신은 실제로 당신이 사용하는 것과 같은 정확한 방법입니다 기사

hash = MD5 (MD5 (password) . salt) 

에서 볼 수 있습니다. (다른 해시 함수를 제외하고.)

Answer 2

당신은 사용자가 이전 (더 소금)이없는 여부를 표시하는 플래그 또는 새로운 (소금) 해쉬로 구성된 열을 추가 할 수 있습니다.

로그인 할 때 모든 사용자가 비밀번호를 변경하도록하는 것이 좋습니다. 이렇게하면 결국 해당 열을 제거 할 수 있습니다.

Answer 3

빠른 수정으로 데이터베이스에 소금 열을 만들 수 있으며 사용자가 이전 해시와 정확하게 일치 할 때 소금으로 입력 한 암호를 사용하여 새 해시를 만들 수 있습니다.

Answer 4

some ways here이 도움이 될 수 있습니다.
기존 해시에 추가하는 상수 패턴은 쓸모가 없다는 것을 기억하십시오 (해당 링크의 속임수 중 하나가 그런 것을 제안하는 것입니다). 소금을 분리하는 데 사용할 수있는 식별 가능한 패턴이 없어야합니다.

물론 가장 좋은 방법은 소금에 절인 해시 테이블로 마이그레이션하는 것입니다.

Answer 5

새 필드를 만들려면 true/false 유형 (또는 해당 DBMS에있는 값)으로 "salted"라는 데이터베이스가 있어야합니다. 기존 해시 값을 모두 false로 설정하십시오. 새롭고 소금에 절인 해시가 추가 될 때마다 "소금에 절인"필드를 true로 설정하십시오.

그런 다음 두 가지 유형의 해시를 코드에서 다르게 처리해야합니다.

이것은 특정 해결책보다 일반적인 해결책이지만 문제를 해결해야합니다.

Answer 6

해시 내부에 소금을 저장하는 경우 해시 길이를 확인하여 소금이 포함되어 있는지 확인해야합니다. 소금이 없으면 암호를 해시합니다. 소금이 있으면 암호 + 소금을 해시합니다.

데이터베이스에 부울 열이 없어야합니다.

Answer 7

내가 소금을 저장하는 가장 좋은 방법은 방금 만든 암호 해시 + 소금에 소금 값을 포함시키는 것입니다. 나는 해쉬의 시작 부분이나 끝 부분에 솔트 문자열을 추가하지 않는다. 문자 그대로 해시에 소금을 삽입한다.

Answer 8

나는 여러 해싱 기술과 관련된 비슷한 문제를 다뤘다. 데이터베이스에서 해시 메소드 유형을 인코딩하는 방식 (예 : '알파', '베타', '감마', '델타')을 사용했습니다. 현재의 모든 해시를 적절한 수준으로 표시했습니다. 사용자가 로그인하면서 암호를 확인하고 업데이트 된 방법을 사용하여 암호를 다시 해시했습니다. 우리의 암호는 90 일 후에 만료되므로 이전 방법을 사용하는 모든 암호를 재설정 할 수있을 때까지 3 개월 동안 만 기다려야했습니다.