如何在分布式环境中存储盐

| 我不知道在我的方案中如何使用“盐概念”。 假设我有一个客户端桌面应用程序,该应用程序为特定用户加密数据并将其发送到远程服务器。客户端应用程序使用PKCS#5生成密钥,并带有用户的密码和SALT。远程桌面一定不能与用户密码联系。 假设我们为加密生成一个随机盐。客户端应用程序可以加密数据,并将其发送到远程服务器。如果用户尝试在另一台计算机上访问其数据,由于未知盐值,它将如何能够对其解密? 我认为始终使用相同的盐(在应用程序中进行硬编码)不是一个好主意(混淆带来的安全性很差)。 我该如何解决我的问题?     
2020-01-12 4 条评论
分享

没有找到相关结果

    已邀请:

    破弯

    盐与加密的数据一起未加密地存储。 盐的目的是防止攻击者预先计算加密密码的字典。 (例如,攻击者花费了一年时间或以其他方式生成每种语言每种单词的加密形式。) 盐的另一个目的是确保即使两个用户的未加密密码相同,他们也将拥有不同的加密密码。 这两个目的都不要求盐保密。 [更新,详细说明] 请参阅Wikipedia条目以获取Salt(加密)。特别是,请阅读介绍性段落。 盐的目的是获取非随机输入(例如,用户提供的数据)并使其随机化,然后再将其传递给密码功能。为此,必须为每个输入随机生成盐。 传统示例是存储加密的密码。大多数用户可靠地选择了非随机密码,因此,选择“ SEKRIT”作为密码的每个人都会在密码数据库中使用相同的加密密码。解决方案是在加密密码之前添加随机盐,然后将其(以明文形式)与加密密码一起存储。     
    2020-01-12 0 0
    分享

    屉杆绊

    如果在加密数据中包含盐,则另一台计算机上的客户端应用程序可以成功计算密码哈希。     
    2020-01-12 0 0
    分享

    芭隘的盘石

    到目前为止,我所见的任何答案都没有涵盖分布式环境中出现盐分的一个方面。如果一个人的站点有多个数据库需要保持同步,那么如何防止一种竞争状况,即在其中同时在两个或多个站点上生成随机盐的竞争状况。调和数据库后,如何知道给定行的哪一盐列是正确的? 恕我直言,针对盐值必须是不断重新计算的随机字符串这一想法,并没有针对用户行使用诸如主键(PK)之类的东西。在您吓呆之前,请听我说。 不管更改了多少纯文本(添加了一个或100个字符),任何合理的哈希函数都将产生完全不同的哈希。 如果使用PK,则该值独立于所有用户提供的信息。 就像任何加盐动作一样,该算法可以将PK-盐作为插入纯文本中的任何位置。它不必位于开头或结尾。 在分布式环境中,因为没有盐柱,所以没有关于盐柱的竞争条件。 即使两个人使用相同的密码,使用隐式盐(如PK)仍会使每个哈希看起来不同。因此,“ PK盐处理”的想法可以在没有和解复杂性的情况下完成盐的处理。     
    2020-01-12 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.037868976593018