हाय दोस्तों मैंने पासवर्ड नमक के बारे में पढ़ा है, लेकिन यह थोड़ा अजीब लग सकता है। लेकिन मैं नमक को कैसे स्टोर और सुरक्षित कर सकता हूं। उदाहरण के लिए एक मल्टी टायर आर्किटेक्चर में कहते हैं कि मैं अपने नमक उत्पन्न करने के लिए क्लाइंट मशीन के GUID का उपयोग करता हूं, तो उपयोगकर्ता एक मशीन तक ही सीमित हो जाता है लेकिन अगर मैं यादृच्छिक नमक का उपयोग करता हूं तो इसे कहीं भी संग्रहीत किया जाना चाहिए। कुछ दिन पहले मैंने एक नमूना आवेदन देखा जहां क्लाइंट सिस्टम पर हैश और नमक उत्पन्न हुआ था जब भी कोई नया उपयोगकर्ता बनाया गया था और फिर नमकीन पासवर्ड और हैश सर्वर पर प्रेषित किया जाता है जहां वे SQL सर्वर में संग्रहीत होते हैं। लेकिन अगर मैं इस विधि का पालन करता हूं और डेटाबेस को पासवर्ड से समझौता किया जाता है और प्रत्येक पासवर्ड के लिए नमक मान X व्यक्ति के लिए उपलब्ध होंगे। तो, क्या मुझे फिर से पासवर्ड को नमक/एन्क्रिप्ट करना चाहिए और सर्वर की तरफ नमक प्राप्त करना चाहिए? नमस्कार का सबसे अच्छा अभ्यास क्या है?नमक को नमकीन और भंडारण का सबसे अच्छा तरीका क्या है?
उत्तर
हैश किए गए पासवर्ड के बगल में डेटाबेस में अनएन्क्रिप्टेड नमक को संग्रहीत करना कोई समस्या नहीं है।
नमक का उद्देश्य गुप्त नहीं होना चाहिए। इसका उद्देश्य प्रत्येक हैश (यानी यादृच्छिक) के लिए अलग होना है, और rainbow tables के उपयोग को हराने के लिए पर्याप्त है जब किसी हमलावर को डेटाबेस पर हाथ मिल जाता है।
थॉमस Ptacek द्वारा इस विषय पर excellent post देखें।
संपादित करें @ZJR: यहां तक कि अगर लवण पूरी तरह से सार्वजनिक थे, तब भी वे इंद्रधनुष तालिकाओं के लाभ को पराजित करेंगे। यदि आप एक नमक है और डेटा टुकड़ों में बांटा है, सबसे अच्छा तुम कर सकते हो उल्टा करने के लिए यह जानवर बल (बशर्ते कि हैश फंक्शन क्रिप्टोग्राफी द्वारा सुरक्षित है)
संपादित @ n10i है: secure hash function के लिए विकिपीडिया लेख देखें। नमक के आकार के लिए, लोकप्रिय bcrypt .gensalt() कार्यान्वयन 128 बिट का उपयोग करता है।
कृपया लवण के इस बहुत अच्छा वर्णन और हैशिंग
- 1. पासवर्ड हैशिंग, नमक और हैश मूल्यों का भंडारण
- 2. सबसे अच्छा तरीका है
- 3. सबसे अच्छा तरीका है
- 4. नमकीन हैश
- 5. खोज क्षेत्र को लपेटने का सबसे अच्छा तरीका क्या है?
- 6. परिवर्तन प्रबंधन को संभालने का सबसे अच्छा तरीका क्या है?
- 7. एनएसएमयूटेबलएरे को शफल करने का सबसे अच्छा तरीका क्या है?
- 8. तालिका को समर्पित करने का सबसे अच्छा तरीका क्या है?
- 9. "टाइमर" को लागू करने का सबसे अच्छा तरीका क्या है?
- 10. तारों को पार्स करने का सबसे अच्छा तरीका क्या है?
- 11. GetResponseStream() को पढ़ने का सबसे अच्छा तरीका क्या है?
- 12. जावास्क्रिप्ट को शामिल करने का सबसे अच्छा तरीका क्या है?
- 13. सबसे अच्छा तरीका है?
- 14. सबसे अच्छा तरीका है
- 15. सबसे अच्छा तरीका है
- 16. सबसे अच्छा तरीका है
- 17. सबसे अच्छा तरीका है
- 18. सबसे अच्छा तरीका है
- 19. डेटाबेस में उपयोगकर्ता ईमेल पते को स्टोर करने का सबसे अच्छा और सुरक्षित तरीका क्या है?
- 20. क्या सबसे अच्छा तरीका है सब वर्कस्टेशन
- 21. आलसी लोडिंग - सबसे अच्छा तरीका क्या है?
- 22. बहु-आयामी एनएसएमयूटेबलएरेज़ को स्टोर और पुनर्प्राप्त करने का सबसे अच्छा तरीका क्या है?
- 23. RedirectToAction का परीक्षण करने का सबसे अच्छा तरीका क्या है?
- 24. सबसे अच्छा तरीका है कुंजी
- 25. सबसे अच्छा तरीका है जावा
- 26. सबसे अच्छा तरीका है ASP.net
- 27. सबसे अच्छा तरीका है dict
- 28. सबसे अच्छा तरीका है एक यूएसबी कुंजी
- 29. सबसे अच्छा तरीका है, .NET
- 30. सबसे अच्छा तरीका देता है
मैं कहेंगे नमक के प्रयोजन ** सार्वजनिक ** होने के लिए नहीं है, या तो पढ़ने के लिए कुछ समय दें। – ZJR
क्या आप कृपया "हैश फ़ंक्शन क्रिप्टोग्राफ़िक रूप से सुरक्षित" समझा सकते हैं। क्षमा करें मैं क्रिप्टोग्राफी के लिए नया हूँ। आपके जवाब में आपने "इंद्रधनुष तालिकाओं के उपयोग को हराने के लिए काफी लंबा" उल्लेख किया है, नमक कितना समय तक पर्याप्त होना चाहिए? – Neel