我正在使用Jquery SHA512.js发送加密并发送用户名和密码到服务器。 在服务器上,我正在执行以下操作来创建我的DB存储的HASH:SHA加密 - 是否真的需要盐?
$ dbhash = = hash('sha256',(hash('sha512',$ user).hash('sha256',$ extremesalt )));
这一切工作正常。
我的问题是盐的价值是什么? 在Salt应用于密码的时候,密码已经在服务器上,而不是在Internet上传输。 Salt也存储在密码哈希旁边。
因此它似乎有人需要得到我的哈希的表,如果他们这么做,他们也可以得到盐和我的代码的休息和做他们想要与我在一般的网站是什么。
我可以看到其良好的应用盐和我会做,但它仅发生在服务器上,而不是从浏览器向服务器我怀疑它的价值。我错过了什么吗?
另外一个问题 - 是它可以从浏览器向服务器申请盐。我假设没有,或者至少如果你这样做了,如果有人检查了源代码(例如:在我的原因在jquery中可见),将是可见的。因此没有真正的价值。
THX
我+1你的答案为第一段。第二段可能在未来是错误的。看到我的评论马克B. –
@马克,是的,我真的读了几个星期后,这个文件相当有趣。尽管有散列哈希的技术,但它具有这种效果,可以更容易地找到原始字符串。我有另一篇文章显示这个地方,但我现在似乎无法找到它。 –