Рейтинг:0

Используйте перец с Bcrypt (HMAC + Bcrypt)

флаг in

Полезно ли комбинировать HMAC с Bcrypt?
Если это так, должен ли я выполнить HMAC для пароля перед его «Bcrypt»? или я должен сделать HMAC на выходе Bcrypt?

флаг zw
Вместо того, чтобы делать это самостоятельно, просто используйте argon2, у которого есть явный параметр для этого.
Рейтинг:1
флаг si

Цель перца — защитить пароли в случае, если база данных хэшей паролей будет скомпрометирована, но другие части системы аутентификации не будут скомпрометированы.

Выходные данные функций хеширования паролей содержат их входные параметры, соль и дайджест, поэтому их безвозвратное сокрытие с помощью HMAC сделает невозможным проверку пароля пользователя. Хранение выходного хэша пароля в виде открытого текста рядом с «приправленным» выводом HMAC приведет к утечке «неприправленного» значения. Таким образом, вы применяете перец на входе.

Ничто в этом не отличается от хэша к хешу, это то же самое для bcrypt, что и для PBKDF2, Argon2, Pufferfish2 или любой другой функции хеширования паролей...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.