alex925
Июль 12, 2016 09:50:33
Каким алгоритмом лучше хэшировать пароли для хранения в базе?
Нужно ли солить хэши или это не обязателено?
JOHN_16
Июль 12, 2016 10:27:22
SHA-512 на данный момент адекватен.
Солить надо - это современные нормы безопасности
4kpt_IV
Июль 12, 2016 10:48:36
Для фласка как-то уже принято bcrypt. Правда на вЫнде с ним проблемы, поэтому можно использовать и SHA-512.
И да, солить нужно. В качестве соли можно использовать путь приложения или просто его __name__.
JOHN_16
Июль 12, 2016 11:22:01
4kpt_IV
В качестве соли можно использовать путь приложения или просто его __name__
не, это потенциально несет большую ненадежность нежели коллизии в MD5. Соль нужна реально уникальная - случайно сгенерированная на проект.
py.user.next
Июль 12, 2016 11:28:07
alex925
Нужно ли солить хэши или это не обязателено?
Нужно солить, но это не поможет, если он может зарегаться с известным ему паролем, а потом получить базу с ним.
https://habrahabr.ru/post/145667/Если же не солить вообще, то он применит уже готовые и оптимизированные таблицы для поиска.
alex925
Июль 12, 2016 12:26:09
4kpt_IV
Ну винды у меня нет, так что это не проблема.
Всем спасибо)