Почему у соли должна быть та же самая длина как крошившая стоимость?

Я имею, прочитали, что у соли, которая будет используемой, должна быть та же самая длина как крошивший пароль, каково рассуждение позади этого? Это увеличит защиту паролем? Я прочитал его Здесь:

Чтобы лишить возможности нападавшего создавать таблицу поиска для каждой возможной соли, соль должна быть длинной. Хорошее эмпирическое правило должно использовать соль, которая является тем же самым размером как продукция хеш-функции. Например, продукция SHA256 составляет 256 битов (32 байта), таким образом, соль должна быть по крайней мере 32 случайными байтами.

6
nl ja de
@GregS смотрят на связь
добавлено автор user962206, источник
That' s это? Я ищу более подробное объяснение, я чувствовал, что информация недостаточна.
добавлено автор user962206, источник
Я didn' t знают это there' s такая вещь как безопасность. SE, если столь любезно переместите вопрос
добавлено автор user962206, источник
Это doesn' t похожи на очень авторитетный источник, больше как некоторые размышления парней. Если вы хотите знать больше об этом подчиненном начале отсюда amazon.com/Applied-Cryptography-Protocols-Algorithms-Edition‌ ​/dp/…
добавлено автор Vlad, источник
, Чтобы лишить возможности нападавшего создавать таблицу поиска для каждой возможной соли, соль должна быть длинной. Это - ответ
добавлено автор Dikei, источник
@jweyrich: Или crypto. SE.
добавлено автор Ilmari Karonen, источник
Ваш вопрос подходит лучше всего для Безопасность. SE.
добавлено автор jweyrich, источник
@IlmariKaronen или что:)
добавлено автор jweyrich, источник
где вы читали это?
добавлено автор James K Polk, источник

3 ответы

Here is a good description of why password salts are needed.

Нет, вам не нужна ваша соль, чтобы быть той же самой длиной как пароль. На самом деле ни одно из внедрений, перечисленных в статье, не делает это. Обычно для каждой добавленной части соли вы требуете, чтобы нападавший удвоил свой бюджет на хранение.

Так наличие 10-байтовой соли должно быть достаточным для сегодняшнего уровня технологии. Также обратите внимание, что соль - двоичное значение, тогда как пароли не, таким образом, соленая длина должна быть измерена в битах/байты и не знаках.

9
добавлено

Нет никакой конкретной потребности в соли, чтобы быть, что долго, хотя она, конечно, не причинит боль.

Единственное реальное требование a соль должен удовлетворить то, что это должно быть глобально уникально. Даже это не трудно требование, в том смысле, что наличие нескольких двойных солей действительно не помогает нападавшему очень. Именно, только если вы получаете партию дубликатов, соль начинает терять свою эффективность.

In particular, due to the birthday paradox, if salts are chosen randomly they should ideally be at least 2·log2(n) bits long, where n is the maximum number of users you expect to have (or, more generally, the maximum number of users you expect to use your chosen hashing method). Of course, it's always a good idea to have some security margin on top of that.

В частности, общая численность населения Земли - немного более чем 2 <�глоток> 32 </глоток>. Это означает, что, даже если бы каждый человек на планете зарегистрировал счет на вашу систему, 64-битная соль все еще была бы довольно достаточна.

4
добавлено

Сила соли, которую я предполагаю, должна быть о том же самом как сила пароля, потому что оба должны быть стойкими к атакам грубой силой.

Простая соль была бы более уязвимой, но даже простая соль делает нападения значительно более трудоемкими, чем наличие никакой соли.

2
добавлено
Соль не должна сопротивляться атакам грубой силой. Это не секретное. Все, чем это должно быть, уникально.
добавлено автор Ilmari Karonen, источник
pro.jvm
pro.jvm
3 503 участник(ов)

Сообщество разработчиков Java Scala Kotlin Groovy Clojure Чат для нач-их: @javastart Наш сайт: projvm.com projvm.ru Наш канал: @proJVM Вакансии: @jvmjobs Конфы: @jvmconf

Java & Co
Java & Co
2 370 участник(ов)

Можно обсуждать с матом и без всё, что касается жабы, вплоть до холиваров. НЕ ИМЕЕТ ОТНОШЕНИЯ К САЙТУ JAVARUSH.RU ПРАВИЛА - https://t.me/javarush/75723 Вакансии сюда - https://telegram.me/joinchat/B7IzvUCnfo6d8t3yIxKguQ По вопросам - @thedude

learn.java
learn.java
1 888 участник(ов)

Чат для начинающих и не только Статистика: https://combot.org/chat/-1001083535868 Основной чат - @jvmchat

Кибербезопасность АСУ ТП: RUSCADASEC Community
Кибербезопасность АСУ ТП: RUSCADASEC Community
1 389 участник(ов)

Группа открытого независимого сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC для интерактивного обмена информацией по теме Подробнее: www.ruscadasec.ru Наш канал для основных новостей и материалов @RUSCADASECnews

secinfosec
secinfosec
697 участник(ов)

Эта группа про информационную безопасность. Целевая аудитория: пентестеры, ресерчеры, ибшники всех мастей. Реклама, криминал, политика и прочая чушь карается родовыми проклятьями. Митапы: https://www.youtube.com/channel/UCagEjp1FmxY9gsVxi6_d4SQ

Linux Security
Linux Security
652 участник(ов)

Данная группа принципиально про безопасность и в частности про безопасность Linux. Прочие темы просим обсуждать в профильных чатах.

Chat Security / ИБач чат
Chat Security / ИБач чат
601 участник(ов)

Чат канала @ibach Обсуждение всего, что касается информационной безопасности Правила: https://t.me/chat_security/65

Java Underground
Java Underground
169 участник(ов)

https://vk.com/javatutorial

Javanese Questions
Javanese Questions
109 участник(ов)

Чат предназначен для обмена знаниями строго в формате в вопрос-ответ. Тема — Java, Kotlin и Android. Вопрос должен быть предварительно прогуглен, понятно и грамотно сформулирован, помечен хэштегами. Ответ — тем более. Куски кода размером в несколько строк можно писать прямо здесь, для больших кусков кода стоит использовать http://gist.github.com/, http://pastebin.com/, https://codeshare.io/ или любой аналогичный сервис. В некоторых случаях можно прикреплять скриншоты. Стикеры и гифки запрещены. Дополнять и уточнять вопросы и ответы — редактированием исходного сообщения. Обсуждения должны приводить к редактированию вопроса/ответа и удаляться. По хештегам можно искать существующие вопросы и овтеты: #вопрос #ответ #git #generics #java #server #awt #javafx #swing #kotlin #anko #tornadofx #ktor #android #recyclerView #performance #arch #network #permissions #storage #async