Điểm:0

Tôi có nên bảo vệ muối trước khi lưu trữ trong cơ sở dữ liệu hay sử dụng hạt tiêu (muối bí mật) để thay thế?

lá cờ in

Nếu tôi bảo vệ muối hoặc sử dụng hạt tiêu (muối bí mật) và kẻ tấn công có quyền truy cập vào cơ sở dữ liệu thì anh ta không thể thực hiện cuộc tấn công bảng cầu vồng vào người dùng được nhắm mục tiêu (một người nổi tiếng hoặc quan trọng).

Tôi có nên sử dụng hạt tiêu (muối bí mật)? Nếu có, thì:

  • làm cách nào để làm cho nó trở thành duy nhất đối với tất cả người dùng hoặc một nhóm người dùng (không biến nó thành toàn cầu và cố định)?
  • làm thế nào để lưu trữ nó một cách an toàn mà không cần viết mã cứng?

Hay tôi nên bảo vệ muối? Nếu có, cái nào tốt hơn:

  • lưu trữ một phần muối một cách an toàn?
  • tự mã hóa muối? (bằng cách này: Không phải chìa khóa được sử dụng để mã hóa bằng cách nào đó là hạt tiêu sao?)
  • lấy muối từ một bí mật được lưu trữ an toàn ? (ngoài ra: không phải bí mật được sử dụng bằng cách nào đó là hạt tiêu sao?)
SAI Peregrinus avatar
lá cờ si
Bàn cầu vồng được ngăn chặn ngay cả bởi muối công cộng.
Mohamed Waleed avatar
lá cờ in
Nhưng khi kẻ tấn công nhắm mục tiêu vào một người dùng cụ thể, anh ta có thể tạo bảng cầu vồng bằng cách sử dụng muối mà anh ta đã bẻ khóa từ cơ sở dữ liệu.
SAI Peregrinus avatar
lá cờ si
Tôi nghĩ bạn đang bối rối về bảng cầu vồng là gì. https://rsheasby.medium.com/rainbow-tables-probably-arent-what-you-think-30f8a61ba6a5 là một lời giải thích hay.
Điểm:2
lá cờ si

Chọn tiêu giống như cách bạn chọn khóa mật mã: sử dụng CSPRNG của hệ điều hành của bạn để tạo tiêu 16-32 byte (128-256 bit).

Nếu hệ thống của bạn có Mô-đun bảo mật phần cứng (HSM) hoặc vùng an toàn, bạn có thể lưu trữ một tiêu duy nhất cho tất cả người dùng ở đó. Nếu không, bạn phải sử dụng một tệp thông thường, vì vậy hãy đặt quyền truy cập một cách thích hợp.

Có thể có một hạt tiêu cho mỗi người dùng trong một số trường hợp. Vì vậy, bạn thường không thể sử dụng HSM hoặc vùng an toàn vì bạn sẽ có quá nhiều mục nhập cho nó và cũng phải lưu trữ xem người dùng nào đi với hạt tiêu nào. Vì vậy, nó có thể khiến mọi thứ kém an toàn hơn thay vì an toàn hơn.

Theo định nghĩa, muối không phải là bí mật. Lưu trữ muối trong cùng một cơ sở dữ liệu với tên người dùng và mật khẩu băm.Đối với tất cả các chức năng băm mật khẩu an toàn hiện tại, muối là một phần đầu ra của thuật toán băm mật khẩu và do đó không cần một cột cơ sở dữ liệu riêng.

Dù bạn làm gì, hãy đảm bảo rằng bạn có cách sao lưu và khôi phục (các) hạt tiêu. Rốt cuộc, nó sẽ không được sao lưu bởi các bản sao lưu cơ sở dữ liệu của bạn! Nếu nó bị mất, người dùng của bạn không thể đăng nhập. Hãy nhớ rằng bảo mật là sự kết hợp của tính bảo mật, tính toàn vẹn và tính khả dụng, vì vậy đừng để tiêu trở thành một điểm thất bại duy nhất.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.