वेब पर कई लेख और उद्धरण कह रहे हैं कि 'नमक' गुप्त रखा जाना चाहिए। Salt पर भी विकिपीडिया प्रविष्टि:ब्लॉक सिफर एसएएलटी: स्पष्ट पाठ या रहस्य?
सबसे अच्छा सुरक्षा के लिए, नमक मूल्य गुप्त, पासवर्ड डेटाबेस से अलग रखा है। डेटाबेस चोरी होने पर लाभ प्रदान करता है, लेकिन नमक नहीं है। चोरी किए गए हैश से पासवर्ड निर्धारित करने के लिए, हमलावर सामान्य पासवर्ड (जैसे अंग्रेज़ी भाषा शब्द या नाम) को सामान्य रूप से सामान्य नहीं कर सकता है। इसके बजाय, उन्हें यादृच्छिक वर्णों के हशों की गणना करना चाहिए (कम से कम के इनपुट के लिए वे नमक जानते हैं), जो बहुत धीमी है।
जब से मैं एक तथ्य यह है कि एन्क्रिप्शन नमक (या प्रारंभ वेक्टर) ठीक हैं एन्क्रिप्टेड पाठ के साथ स्पष्ट पाठ पर संग्रहीत करने के लिए, मैं पूछना चाहता हूँ क्यों यह गलत धारणा perpetuated है के लिए पता करने के लिए होता है?
मेरी राय यह है कि समस्या की उत्पत्ति एन्क्रिप्शन नमक (ब्लॉक सिफर के प्रारंभिक वेक्टर) और हैशिंग 'नमक' के बीच एक आम भ्रम है। हैश किए गए पासवर्ड संग्रहीत करने में एक गैर अभ्यास, या 'नमक' जोड़ने का एक आम अभ्यास है, और (मामूली) सच है कि यह 'नमक' बेहतर रखा जाता है। जो बदले में यह नमक नहीं बनाता है, लेकिन में गुप्त नामक बहुत स्पष्ट रूप से एक कुंजी है। यदि आप आलेख Storing Passwords - done right! पर आलेख देखते हैं जो विकिपीडिया 'नमक' प्रविष्टि से जुड़ा हुआ है, तो आप देखेंगे कि इस तरह के 'नमक', पासवर्ड हैश के बारे में बात कर रही है। मुझे इनमें से अधिकतर योजनाओं से असहमत होना पड़ता है क्योंकि मेरा मानना है कि पासवर्ड संग्रहण योजना को HTTP Digest authentication के लिए भी अनुमति देनी चाहिए, इस मामले में केवल उपयोगकर्ता नाम का HA1 पाचन ही संभव संग्रहण है: दायरे: पासवर्ड, Storing password in tables and Digest authentication देखें।
यदि इस मुद्दे पर आपकी राय है, तो कृपया यहां प्रतिक्रिया के रूप में पोस्ट करें।
- क्या आपको लगता है कि ब्लॉक सिफर एन्क्रिप्शन के लिए नमक छुपाया जाना चाहिए? समझाएं क्यों और कैसे।
- क्या आप सहमत हैं कि कंबल कथन 'लवण छुपाया जाना चाहिए' नमकीन हैशिंग से निकलता है और एन्क्रिप्शन पर लागू नहीं होता है?
- क्या हम चर्चा में स्ट्रीम सिफर (आरसी 4) शामिल कर सकते हैं?
आपने इसे विकी क्यों बनाया? –
नमक वास्तव में कभी भी सममित सिफर (उर्फ आरसी 4) या उस मामले के लिए एन्क्रिप्शन के संदर्भ में उपयोग नहीं किया जाता है। नमक वास्तव में एन्क्रिप्शन कार्यों में कोई सुरक्षा नहीं जोड़ता है। इसके अलावा, लवण और प्रारंभिक वेक्टर अलग-अलग चीजें हैं। नमक का उपयोग SHA जैसे हैंशिंग कार्यों के संयोजन के साथ किया जाता है। – mox1
"चूंकि मुझे इस तथ्य के बारे में पता चल गया है कि एन्क्रिप्शन नमक (या प्रारंभिक वेक्टर) एन्क्रिप्टेड पाठ के साथ स्पष्ट पाठ पर संग्रहीत करने के लिए ठीक हैं" - क्या आप यह स्पष्ट कर सकते हैं कि आपने "तथ्य" कैसे प्राप्त किया (या कहां)? - गलत धारणा (यदि यह वही है) संभवत: जानकारी व्यापक रूप से उपलब्ध नहीं है और समुदाय भर में साझा की जा रही है। – scunliffe