글로벌 사이트 소금, 그만한 가치가 있습니까?

Question

나는 사용자 데이터베이스를 만들고 보안에 대해 생각하고 있었고, 나에게 생각을하게했다. 모두에게 독특한 사용자 소금을 갖게 될 때 사이트 소금을 갖는 것이 정말로 가치가있는 것인가.

md5(GLOBAL_SALT . $password . $user_salt); 

대

md5($password . $user_salt); 

내 생각은 사이트가 해킹 얻을 것 인 경우에 해커 어쨌든 글로벌 소금에 액세스 할 수있는 것입니다.

Answer 1

라고도하는 것은 무엇입니까? 소금과 후추는 다른 목적을 가지고 있습니다 :

• 소금은 무지개 표 공격을 방지합니다.
• 후추는 경우에 따라 사전 공격으로부터 보호 할 수 있습니다.

실제로 페퍼를 사용하는 경우 공격자가 서버를 제어하는지 또는 데이터베이스에 대한 액세스 권한 만 있는지 (SQL- 주입)에 따라 달라집니다. 나는 최근에 hashing passwords에 관한 튜토리얼을 썼는데, 여기서 중요한 점을 설명하려고 노력했다.

MD5가 암호 해싱에 비해 너무 빠르기 때문에 BCrypt과 같은 키 파생 기능을 사용해야한다는 점을 고려해야합니다.