Я (почти полный) новичок, и это мой первый набег на шифрование - на самом деле, это, наверное, первый раз, когда я использую word.
Вот мой вопрос: для небанковского / военного или даже коммерческого веб-приложения как правильно выбрать соль для хэш-функции, используемой для паролей?
Я могу легко сгенерировать псевдослучайную соль для каждого нового пользователя и добавить эту соль в их pw перед применением хеш-функции. Но мне все еще нужно хранить соль, поэтому, по-видимому, любой, кто получает доступ к хешированным паролям, также получает соли.
Преимущество соли просто в том, чтобы сделать pw «более случайным» и, следовательно, победить стандартную систему на основе словаря радужные таблицы?
Будет ли какая-либо из следующих хороших и практических идей:
В качестве побочного вопроса, насколько легко изменить алгоритм хеширования с солью при обновлении программного обеспечения интернет сайт? Сейчас это кажется кошмаром.