|
soxxx ::Nisam crypto ekspert ali bi trebalo da se salt isto cuva u bazi kao i krajnji hash jer mora da postoji nacin da aplikacija autentifikuje korisnika kada ukuca lozinku. Na taj nacin aplikacija moze da uzme lozinku, doda salt, hashuje i uporedi sa unosom iz baze. Vazno je samo da salt bude jedinstven za svakog korisnika.
Tako je, salt mora da se cuva u bazi, jer je (skoro) nemoguce dalje uporedjivanje (pass+salt) ako salt nije dostupan. Postoje jos neke varijante kako koristiti salt, a da nije zapisan u bazi, ili bar ne ocigledno (npr u koloni koja se zove "salt"), ali to opet nije toliko bitno za ovu temu.
Ono sto sam hteo da istaknem je sta bi se desilo ako "nekim cudom" (metode necemo navoditi) uhvati hashovan pass, a da to nije pukim citanjem iz baze.
Meni je ovo interesantnije:
soxxx ::All passwords (mixed case, alphanum, 62^1+62^2+62^3+…)
up to 7 characters => 16 minutes
up to 8 characters => 17 hours
up to 9 characters =>44 days
A sad dodaj jos samo 32 moguca karaktera (alphanumeric + special), pa zamisli koliko bi onda trajalo ovo  ili jos samo jedno karakter dodatni, merilo bi se mesecima, i to za samo 10 karaktera. Primera radi, moja admin sifra u jednoj vrlo bitnoj aplikaciji je svojevremeno imala 20 karaktera (alphanum), pa me je posle izvesnog vremena zamrzelo da kucam toliku sifru, i skratio sam je 13 alphanum karaktera
|
