Используйте перец с Bcrypt (HMAC + Bcrypt)

Mohamed Waleed

29.11.2022, 00:40

Полезно ли комбинировать HMAC с Bcrypt?
Если это так, должен ли я выполнить HMAC для пароля перед его «Bcrypt»? или я должен сделать HMAC на выходе Bcrypt?

1 + 1

хмак

хеширование паролей

Stephen Touset

29.11.2022, 02:41

Вместо того, чтобы делать это самостоятельно, просто используйте argon2, у которого есть явный параметр для этого.

Ответить

Рейтинг:1

Crypto

SAI Peregrinus

29.11.2022, 01:58

Цель перца — защитить пароли в случае, если база данных хэшей паролей будет скомпрометирована, но другие части системы аутентификации не будут скомпрометированы.

Выходные данные функций хеширования паролей содержат их входные параметры, соль и дайджест, поэтому их безвозвратное сокрытие с помощью HMAC сделает невозможным проверку пароля пользователя. Хранение выходного хэша пароля в виде открытого текста рядом с «приправленным» выводом HMAC приведет к утечке «неприправленного» значения. Таким образом, вы применяете перец на входе.

Ничто в этом не отличается от хэша к хешу, это то же самое для bcrypt, что и для PBKDF2, Argon2, Pufferfish2 или любой другой функции хеширования паролей...

0 + 0

Admin

Этот вопрос на других языках:

EN: Use peppers with Bcrypt (HMAC + Bcrypt)

TH: ใช้พริกไทยกับ Bcrypt (HMAC + Bcrypt)

RO: Utilizați ardei cu Bcrypt (HMAC + Bcrypt)

RU: Используйте перец с Bcrypt (HMAC + Bcrypt)

VI: Sử dụng ớt với Bcrypt (HMAC + Bcrypt)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.