मैं ऐसे सिस्टम पर काम कर रहा हूं जो एमडी 5 (कोई नमक) के साथ उपयोगकर्ता पासवर्ड हैशिंग कर रहा है। मैं एसएचए -512 और नमक का उपयोग करके पासवर्ड को अधिक सुरक्षित रूप से स्टोर करना चाहता हूं।एसएचए -512 का प्रयोग करें और एमडी 5 हैश पासवर्ड हैश के लिए नमक?
हालांकि भविष्य के पासवर्ड के लिए इसे कार्यान्वित करने में काफी आसान है, मैं मौजूदा एमडी 5 हैश किए गए पासवर्ड को फिर से भरना चाहूंगा, अधिमानतः सभी उपयोगकर्ताओं को अपने पासवर्ड बदलने के लिए मजबूर किए बिना। मेरा विचार है कि केवल एसएचए -512 का उपयोग करें और मौजूदा एमडी 5 हैश हैश के लिए उपयुक्त नमक। मैं या तो डेटाबेस में कुछ झंडा सेट कर सकता हूं जो इंगित करता है कि सादे पाठ से कौन से पासवर्ड धोए गए थे, और जिन्हें एमडी 5 हैश से धोया गया था। या मैं उपयोगकर्ताओं को प्रमाणीकृत करते समय बस कोशिश कर सकता हूं। या यहां तक कि सिर्फ एमडी 5 के साथ हैश नए पासवर्ड और फिर SHA-512/नमक, इसलिए उन्हें पुराने पासवर्ड के समान माना जा सकता है।
प्रोग्रामेटिक रूप से, मुझे नहीं लगता कि यह एक समस्या होगी, लेकिन मुझे यह जानने के लिए एन्क्रिप्शन/हैशिंग के बारे में पर्याप्त जानकारी नहीं है कि क्या मैं किसी भी तरह से हैश की गुणवत्ता समझौता कर रहा हूं, SHA-512/नमक हैश एक पासवर्ड है जो पहले ही एमडी 5 थाश किया गया था। मेरा पहला वृत्ति यह है कि यदि कुछ भी हो, तो यह भी मजबूत होगा, एक बहुत ही हल्की कुंजी खींचती है।
मेरी दूसरी प्रवृत्ति यह है कि मुझे वास्तव में पता नहीं है कि मैं किस बारे में बात कर रहा हूं, इसलिए मुझे सलाह मिल जाएगी। कोई विचार?
एसएचए -512 एमडी 5 पर बहुत कम सुधार प्रदान करेगा (उदाहरण: 'एमडी 5 (नमक + पासवर्ड) 'व्यावहारिक रूप से' SHA512 (नमक + पासवर्ड) 'के बराबर है)। एमडी 5 और एसएचए परिवार जैसे सामान्य उद्देश्य हैशिंग फ़ंक्शंस ** स्टोर नहीं किए गए ** ** ** नहीं थे। Bcrypt का प्रयोग करें। – NullUserException
बहुत सच है। मैं वास्तव में महत्वपूर्ण खींचने का इरादा रखता हूं, लेकिन मेरे प्रश्न में यह स्पष्ट नहीं किया। मैं अपने स्वयं के कुंजी खींचने वाले एल्गोरिदम को लागू करने के बजाय पीबीकेडीएफ 2 का उपयोग कर समाप्त हुआ। –