Python-сообщество

alex925 · Июль 12, 2016 09:50:33

Каким алгоритмом лучше хэшировать пароли для хранения в базе?
Нужно ли солить хэши или это не обязателено?

JOHN_16 · Июль 12, 2016 10:27:22

SHA-512 на данный момент адекватен.
Солить надо - это современные нормы безопасности

_________________________________________________________________________________
полезный блог о python john16blog.blogspot.com

4kpt_IV · Июль 12, 2016 10:48:36

Для фласка как-то уже принято bcrypt. Правда на вЫнде с ним проблемы, поэтому можно использовать и SHA-512.
И да, солить нужно. В качестве соли можно использовать путь приложения или просто его __name__.

JOHN_16 · Июль 12, 2016 11:22:01

4kpt_IV
В качестве соли можно использовать путь приложения или просто его __name__

не, это потенциально несет большую ненадежность нежели коллизии в MD5. Соль нужна реально уникальная - случайно сгенерированная на проект.

_________________________________________________________________________________
полезный блог о python john16blog.blogspot.com

py.user.next · Июль 12, 2016 11:28:07

alex925
Нужно ли солить хэши или это не обязателено?

Нужно солить, но это не поможет, если он может зарегаться с известным ему паролем, а потом получить базу с ним.
https://habrahabr.ru/post/145667/
Если же не солить вообще, то он применит уже готовые и оптимизированные таблицы для поиска.

alex925 · Июль 12, 2016 12:26:09

4kpt_IV
Ну винды у меня нет, так что это не проблема.

Всем спасибо)

Python-сообщество

Уведомления

#1 Июль 12, 2016 09:50:33

Хэширование паролей

#2 Июль 12, 2016 10:27:22

Хэширование паролей

#3 Июль 12, 2016 10:48:36

Хэширование паролей

#4 Июль 12, 2016 11:22:01

Хэширование паролей

#5 Июль 12, 2016 11:28:07

Хэширование паролей

#6 Июль 12, 2016 12:26:09

Хэширование паролей

Board footer