हैशिंग के दौरान "नमक" का उद्देश्य क्या है?

Question

ठीक है, मैं नमक का उपयोग करने के कारण को समझने की कोशिश कर रहा हूं।

जब कोई उपयोगकर्ता पंजीकृत करता है तो मैं उसके लिए एक अद्वितीय नमक उत्पन्न करता हूं जिसे मैं डीबी में संग्रहीत करता हूं। तब मैंने इसे और SHA1 के साथ पासवर्ड हैश किया है। और जब वह लॉग इन कर रहा है तो मैं इसे sha1($salt.$password) के साथ पुनः-हैश करता हूं।

लेकिन अगर कोई मेरे डेटाबेस को हैक करता है तो वह हैश पासवर्ड और नमक देख सकता है।

क्या नमक के साथ पासवर्ड को बस से ज्यादा क्रैक करना मुश्किल है? मुझे समझ नहीं आता ...

क्षमा करें यदि मैं मूर्ख हूँ ...

Answer 1

आप एक नमक का उपयोग नहीं करते हैं तो एक हमलावर एक पासवर्ड < precompute कर सकते हैं -> हैश डेटाबेस ऑफ़लाइन वे में विभाजित कर दिया है पहले भी अपने सर्वर। एक नमक जोड़ना उस डेटाबेस के आकार को बड़े पैमाने पर बढ़ाता है, जिससे ऐसा हमला करने में मुश्किल होती है।

साथ ही, एक बार जब वे टूट जाते हैं तो वे आमतौर पर इस्तेमाल किए गए पासवर्ड का अनुमान लगा सकते हैं, हैश करें, और उसके बाद किसी मिलान के लिए डेटाबेस में सभी पासवर्ड जांचें। प्रत्येक उपयोगकर्ता के लिए एक अलग नमक के साथ, वे एक समय में केवल एक पासवर्ड पर हमला कर सकते हैं।

विकिपीडिया पर salts in cryptography पर एक लेख है।

Answer 2

नमक के उपयोग के पीछे एक और इरादा यह सुनिश्चित करना है कि एक ही पासवर्ड वाले दो उपयोगकर्ता उपयोगकर्ता तालिका में एक ही हैश होने से समाप्त न हों (मान लें कि उनका नमक समान नहीं है)। हालांकि, नमक और पासवर्ड के संयोजन से अंत में एक ही "स्ट्रिंग" या हैश हो सकता है और हैश बिल्कुल वही होगा, इसलिए नमक और पासवर्ड के संयोजन का उपयोग करना सुनिश्चित करें जहां दो अलग संयोजन नहीं होंगे एक ही हैश के लिए नेतृत्व।

Answer 3

यदि कोई हमलावर giant table of hash values for plaintext passwords बनाता है, तो नमक का उपयोग करके उसे एक से अधिक पासवर्ड को क्रैक करने के लिए उसी तालिका का उपयोग करने से रोकता है। हमलावर को प्रत्येक नमक के लिए एक अलग टेबल उत्पन्न करना होगा। ध्यान दें कि इसके लिए वास्तव में व्यावहारिक रूप से काम करने के लिए, आपका नमक बल्कि लंबा होना चाहिए। अन्यथा हमलावर की प्रीकंप्यूटेड टेबल में नमक + पासवर्ड हैश होने की संभावना है।