将密码盐与密码哈希分开存储？

Question

可能重复：
what is best possible way of salting and storing salt?
Improve password hashing with a random salt

假设使用密码哈希正确的算法生成每个密码不同的盐......

它是一个安全存储盐与密码哈希分开的风险？例如。在数据库表中，将密码哈希存储在一列中，并将密码盐存储在单独的列中？

我看到了使用特定算法将salt嵌入密码哈希本身的策略。稍后可以从密码哈希中提取salt。这更安全吗？

Answer 1

从我读过的所有内容中，将密码哈希和密码盐存储在不同的列中并没有什么错，这是最常见的方法。

进行身份验证的基本方法应该是这样的：

1. 检索USER_ID和使用用户提供的用户名或电子邮件password_salt
用提取盐
2. 使用散列算法相结合
3. 的毗连用户提供的密码输入字符串
4. 检查所创建的哈希与数据库中的哈希对应