Пароль с солью (salt+password)

#безопасность #хеширование

Есть ли смысл "солить" пароль несколько раз?
$db_password = $salt.hash_func($salt.hash_func($salt.hash_func($salt.$my_password)))

Или это не повысит эффективность?    

Ответы

Ответ 1

@Knes есть прямой смысл солить несколько раз и использовать несколько разных хэш
алгоритмов. Смысл здесь такой, что радужные таблицы составляются для конкретного хэш
алгоритма, а поскольку соль хранится в открытом доступе то подобрать алгоритм соления
пароля при однократном солении все же можно, а если соление примерно такое:
db_password=hash1(salt1/2+hash2(password+salt2)+salt1/2)

то, чтобы расколотить такую комбинацию нужно сначала провести реверс-инжиниринг кода
(чтобы раскрыть алгоритм соления) и только потом применить радужные таблицы совместно
с брут-форсом.


Ответ 2

Я думаю что здесь большую роль играет длина и сложность самой соли а не количество
раз ее использования.