나는 오랫동안 내 암호를 해싱하기 위해 PHPass를 사용 해왔다. 나는 암호를 적절하게 해시하기 위해 내가 완전히 이해하지 못하는 (또는 무시하는) 것들이 있다는 것을 인정한다. 그래서 나는 그것에 대해 찾을 수있는 모든 정보를 검토하고 있었다.적절한 염분 사용 및 PHPass 사용
검토 PHPass 문서, 나는이에 steped했습니다
실제 해시 외에, phpass 투명 새로운 암호 나 암호가 해시되는 임의의 염을 생성
하고, 해시 유형 인코딩, 소금, 암호 확장 반복은 "해시 인코딩 문자열"로 반환됩니다. phpass가 저장된 해시에 대해 암호 또는 암호 구를 인증하면 해시 유형 식별자, 소금 및 "해시 인코딩 문자열"의 반복 횟수를 유사하게 추출하여 사용합니다. 따라서 염수와 스트레칭을 염려 할 필요가 없습니다. - phpass가이를 처리합니다.
나는 나를 괴롭힌 문장을 굵게 표시했습니다.
나는 항상 소금이 약간 은밀해야한다는 점에서 비록 공격자에게 알려서는 안된다는 점에서 항상 그렇습니다. 따라서 올바르게 이해되면, PHPass는 동일한 해시에 사용 된 소금을 저장하므로 암호를 비교하고 유효한지 확인하는 데 사용할 수 있습니다.
내 질문은
- 안전한가요? 해시가 손상되면 공격자는 암호 해시에 사용되는 소금을 가지고 있습니다 ... 여기에 내가 놓친 것이 있습니다.
- 나는 소금에 절인 암호에 관하여 진짜로 자유롭게 여기에서있다? 정말로 PHPass에 의지 할 수 있습니까?
. 이것은 '심층 방어'의 주요 원칙이다. 그러나 _phpass_가 이미 소금을 추가하면 다른 레이어가 추가되지 않습니다. – Leri
1.) 어떤 종류의 보안에 대해 알고 있습니까? 더 구체적으로 만들 수 있습니까? - 2) 예 또는 아니오로 몇 분의 1 초 내에 다음 질문을 자신있게 대답 할 수 있습니까? "Phpass는 소금을 사용합니까?" - 확실하고 신속하게 대답 할 수있는 방법과 대답을 말해보세요. – hakre
@hakra 나는 암호와 함께 소금을 저장하는 행위를 언급하고있다. 나는 항상 다른 장소 (예 : DB 필드 읽기)에 저장하는 것이 더 좋았지 만. –