Hol tárolnátok a sót?

Utánaolvastam, ez tényleg a pepper... De szerintem a kérdező is keveri ezt, mert nekem az jött le a kérdésből, hogy statikus salt-ot akar használni (nevezzük peppernek).

Hát ez nagyszerű, csak akkor te sem tudod ellenőrizni, hogy jó jelszót írt-e be a felhasználó. Ne adj isten összekeverednek a saltok a külön tárolás miatt, akkor a jó isten sem bogozza ki, hogy melyik salt melyik hash-hez tartozik. Az adatbázis erre való, hogy az összetartozó adatokat benne tárold. Ha feltörik, akkor már tök mindegy, hogy tudják-e a felhasználók jelszavát sem, hiszen az adatbázisból minden információ kinyerhető, nem kell belépniük a weboldalra a feltört jelszóval, hogy személyes információkhoz jussanak.

Egyébként még annyit, hogy a hash-t nem lehet visszafejteni, nem értem hogyan értetted azt az 1 perces dolgot. Ha van rainbow táblád, akkor megkeresheted benne a hash-hez tartozó jelszót, de ha a hash salt-olva van, akkor ugye kiesik ez a módszer.

A hasht nem fejtik vissza 1 perc alatt, főleg nem a sózott hasht. Ellenben minden metodika amit felsoroltál max egy kicsit elnyújtja a visszafejtést, de nem jelentősen. Ha belekevered a saltot a jelszóba és nem a végére rakod, az addig fog csak gondot okozni, amíg egy jelszót vissza nem fejtenek. Onnantól megvan a rendszer, hogy hogy helyezed el a saltot. Az meg, hogy nem az adatbázisban tárolod a sót.. akkor hol? Tárolhatod máshol, csak ahogy az előző is írta, ne legyen gabalyodás belőle, mert az nem vicces amikor a teljes user állományodnak korruptálódik a jelszava valamilyen db szinkronizációs baki miatt. A jelszavak tárolásánek ez a bevett módszere, hogy a sót a hashelt jelszó mellett tárolod, mert nem nyersz sokat abból, hogy megpróbálod még a sót is eldugni valahogy, ellenben kisebb eséllyel fog valami katasztrófa történni ami tönkreteszi a userek jelszavát.