Estoy debatiendo el uso de nombres de usuario como medio para eliminar contraseñas, en lugar de almacenar una cadena aleatoria junto con los nombres. Mi justificación es que el propósito de la sal es evitar tablas de arcoíris, entonces ¿qué hace que esto sea menos seguro que otro conjunto de datos?Salar: ¿Es razonable usar el nombre de usuario?
Por ejemplo,
hash(md5([email protected]), p4ss\/\/0rD)
vs
hash(md5(some_UUID_value), p4ss\/\/0rD)
¿Hay una verdadera razón yo no podía seguir con el nombre de usuario y simplificar las cosas? La única cosa que mi Web búsqueda dio como resultado era debates en cuanto a cómo debe ser una sal como una contraseña, pero terminó sin ningún razonamiento detrás de él, donde estoy bajo la impresión de que esto es sólo para evitar que algo así como un Caín-y-poder cracker para correr contra ella sin estar en el rango de un millón de años. Al pensar en procesar las limitaciones de la realidad, no creo que esto sea importante si las personas conocen el hash, aún no conocen la contraseña, y se han movido al rango de supercomputadora para aplicar fuerza bruta a cada hash individual.
Podría alguien por favor me ilumine aquí?
He encontrado un gran artículo relacionado. http://web.archive.org/web/20080822090959/http://www.matasano.com/log/958/enough-with-the-rainbow-tables-what-you-need-to-know-about-secure-password-schemes/ – Incognito