Яка оптимальна довжина солі пароля користувача? [зачинено]

Будь-яка сіль взагалі, очевидно, допоможе при засолюванні та перемішуванні пароля користувача. Чи є найкращі практики щодо того, як довго повинна бути сіль? Я буду зберігати сіль у своєму користувальницькому столі, тому мені хотілося б найкращого компромісу між розміром пам’яті та безпекою. Чи достатньо випадкової солі в 10 символів? Або мені потрібно щось довше?

Більшість із цих відповідей дещо хибні і демонструють плутанину між солями та криптографічними ключами. Метою включення солей є модифікація функції, яка використовується для хешування пароля кожного користувача, так що кожен збережений хеш пароля повинен буде атакуватися індивідуально. Єдина вимога безпеки полягає в тому, щоб вони були унікальними для кожного користувача, і користі для них непередбачувані або важко здогадатися.

Солі потрібно лише бути досить довгими, щоб сіль кожного користувача була унікальною. Випадкові 64-бітні солі навряд чи повторяться навіть з мільярдом зареєстрованих користувачів, тому це повинно бути добре. Одноразово повторювана сіль - відносно незначна проблема безпеки, вона дозволяє зловмиснику шукати два акаунти одночасно, але в сукупності не прискорить пошук у всій базі даних. Навіть 32-бітні солі прийнятні для більшості цілей, це в гіршому випадку прискорить пошук нападника приблизно на 58%. Вартість збільшення солі понад 64 біт не висока, але для цього немає жодних причин безпеки.

Існує певна користь і від використання солі загального розміру на солі для кожного користувача, це запобігає можливим зіткненням з хешами паролів, що зберігаються на інших сайтах, і запобіжить використанню загальновиробничих таблиць веселки, хоча навіть 32 біти солі достатньо, щоб зробити веселкові столи непрактичною атакою.

Навіть простіше - і розробники завжди не помічають цього - якщо у вас є унікальні ідентифікатори користувачів або імена для входу, вони служать прекрасною сіллю. Якщо ви це зробите, вам слід додати сіль для всіх сайтів, щоб не перетинатися з користувачами іншої системи, які мали таку ж яскраву ідею.

Наразі прийняті стандарти для хешування паролів створюють нову сіль довжиною 16 символів для кожного пароля та зберігають сіль із хешем пароля.

Звичайно, слід дотримуватися належної криптографічної допомоги для створення дійсно випадкової солі.

Редагувати: моя нижченаведена відповідь відповідає на запитання як відповідь, але "справжня" відповідь: просто використовуйте bcrypt , scrypt або Argon2 . Якщо ви задаєте подібні запитання, ви майже напевно використовуєте інструменти на занадто низькому рівні.

Чесно кажучи, немає жодних причин для захисту, щоб сіль не була такою ж довжиною, як хешований пароль. Якщо ви використовуєте SHA-256, у вас є 256-бітний хеш. Немає причин не використовувати 256-бітну сіль.

Більше 256 біт математично не призведе до покращення безпеки. Але їхати з коротшою сіллю завжди може закінчитися ситуацією, коли райдужний стіл наздоганяє вашу довжину солі - особливо з коротшими солями.

Вікіпедія :

Методи криптовалют і криптовалют SHA2 - використовувані в Linux, BSD Unixes і Solaris - мають солі 128 біт. Ці більші значення солі роблять передбачувані атаки майже будь-якої довжини пароля неможливими для цих систем в осяжному майбутньому.

128-бітної (16-байтної) солі буде достатньо. Ви можете представити це як послідовність 128 / 4 = 32шістнадцяткових цифр.

Однією з відповідей може бути використання в якості розміру солі значення, яке хеш, який ви збираєтеся використовувати, забезпечує в умовах безпеки.

Наприклад, якщо ви збираєтесь використовувати SHA-512, використовуйте 256 бітну сіль, оскільки захист, що надається SHA-512, становить 256 біт.